ビュー:
セキュリティログ監視モジュールを設定して、ポリシーに対する動作を定義します。モジュールの動作を設計し、APIを使用して実装する場合は、セキュリティログ監視について
ポリシーオブジェクトには、セキュリティログ監視モジュールの設定に使用する2つのオブジェクトが含まれています。
  • LogInspectionPolicyExtension : モジュールの状態 (オンまたはオフ) を制御し、適用されるセキュリティログインスペクションルールを識別します。
  • PolicySettings注意: ポリシー設定には、推奨設定の自動適用、イベントの転送と保存など、モジュールの実行時の動作を制御するセキュリティログ監視関連の設定が含まれます。 (「ポリシーと初期設定のポリシーを設定する.)
これらのオブジェクトを作成してPolicyオブジェクトの場合は、PoliciesApiに基づいて既存のポリシーを変更するクラスです。Policyオブジェクト。
次のJSONは、LogInspectionPolicyExtensionオブジェクト:
{
    "state": "on",
    "moduleStatus": {...},
    "ruleIDs": [...]
}
moduleStatusプロパティは読み取り専用です。セキュリティログ監視モジュールの実行時のステータスを示します。 (「コンピュータのステータスに関するレポート.)

一般的な手順 親トピック

セキュリティログ監視モジュールを設定するには、次の手順を実行します。
  • 作成するLogInspectionPolicyExtensionオブジェクトを作成し、プロパティを設定します。
  • 作成するPolicySettingsオブジェクトを使用して、モジュールの実行時設定を行います。 (「ポリシーと初期設定のポリシーを設定する.)
  • 作成するPolicyオブジェクトを追加し、LogInspectionPolicyExtensionそしてPolicySettingsオブジェクト。
  • 使用するPoliciesApi Server & Workload Protectionのポリシーを追加または更新するオブジェクト。
作成するLogInspectionPolicyExtension objectモジュールの状態を設定してルールを割り当てるには、次の手順を実行します。
policy_config_log_inspection = api.LogInspectionPolicyExtension()
policy_config_log_inspection.state = "on"
policy_config_log_inspection.rule_ids = li_rules
セキュリティログ監視ポリシー拡張をポリシーオブジェクトに追加し、PoliciesApi Server & Workload Protectionのポリシーを変更するオブジェクト。
policy = api.Policy()
policy.log_inspection = policy_config_log_inspection

policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)
policy_id (またはpolicyID ) のパラメータmodifyPolicy変更する Server & Workload Protection の実際のポリシーを示します。このポリシーは、policyパラメータ。のプロパティpolicy設定されていないパラメータは、実際のポリシーでは変更されません。

親トピック

次の例では、セキュリティログ監視を有効にして、ポリシーのログインスペクションルールを追加します。
# Set the state
policy_config_log_inspection = api.LogInspectionPolicyExtension()
policy_config_log_inspection.state = "on"

# Add the rules
policy_config_log_inspection.rule_ids = li_rules

# Add to a policy
policy = api.Policy()
policy.log_inspection = policy_config_log_inspection

# Modify the policy on Server & Workload Protection
policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)
return modified_policy.id
ヒント
ヒント
また、ポリシーの変更操作については、 APIレファレンス/参照情報を参照してください。
ヒント
ヒント
ポリシーのセキュリティログインスペクションルールの追加、削除、または一覧表示のみが必要な場合は、PolicyLogInspectionRuleAssignmentsApiクラス。前の例では、LogInspectionPolicyExtension ,Policy、およびPoliciesApiクラスを使用してセキュリティログインスペクションルールを追加できますが、PolicyLogInspectionRuleAssignmentsApiクラス。詳細については、ポリシーセキュリティログ監視ルールの割り当てと推奨事項APIレファレンス/参照情報の「ポリシー」セクションを参照してください。
API呼び出しの認証に関する情報については、Server & Workload Protectionで認証するを参照してください。

セキュリティログインスペクションルールを作成する 親トピック

通常、セキュリティログインスペクションルールを作成するには、次の手順を実行します。

手順

  1. 作成するIntegrityMonitoringRuleオブジェクト。
  2. ルールプロパティを構成して、名前、説明、および検査するログファイルを設定します。プロパティはサブルールに記載されています。
  3. を使用します。IntegrityMonitoringRulesApiオブジェクトを使用してルールを Server & Workload Protectionに追加します。

次に進む前に

を設定します。Templateルールの定義方法を示すルールオブジェクトのプロパティ。
  • [基本情報]: 1つのルールグループに属する1つのセキュリティログ監視インスペクションルール。ルールの各プロパティに値を指定します。
  • [カスタム]: 1つまたは複数のグループの下にある1つまたは複数のルール。 1つまたは複数のルールを定義するXML (base64エンコード) を指定します。の値を設定します。CustomXMLプロパティをカスタムXMLに追加します。
注意
注意
侵入防御、変更監視、およびセキュリティログ監視インスペクションルールの設定オプションには、APIを使用してアクセスできません。これらのオプションを変更するには、 Server & Workload Protection コンソールでルールのプロパティを開き、[設定] タブをクリックします。
APIを使用してセキュリティログインスペクションルールを作成するには、POSTリクエストを送信します。the loginspectionrulesエンドポイント。 (セキュリティログ監視ルールの作成での操作APIレファレンス/参照情報.)

基本的なセキュリティログインスペクションルールの作成 親トピック

次の例では、基本的なログインスペクションルールを設定し、 Server & Workload Protectionに作成します。
# Create the rule object
li_rule = api.LogInspectionRule()
li_rule.name = name
li_rule.description = "A log inspection rule"

# Create a log file and add it to the rule
log_file = api.LogFile()
log_file.location = "C/logfile.log"
log_file.format = "eventlog"
log_files = api.LogFiles()
log_files.log_files = [log_file]
li_rule.log_files = log_files

# Define the rule
li_rule.template ="basic-rule"
li_rule.pattern = pattern
li_rule.pattern_type = "string"
li_rule.rule_description = "Rule for " + path + " and pattern " + pattern
li_rule.groups = [group]

# Add the rule to Server & Workload Protection
log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration))
return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)
API呼び出しの認証に関する情報については、Server & Workload Protectionで認証するを参照してください。

XMLを使用したログインスペクションルールの作成 親トピック

次の例では、XMLからセキュリティログインスペクションルールを作成し、ルールを Server & Workload Protectionに追加します。
# Create the rule object
li_rule = api.LogInspectionRule()
li_rule.name = name
li_rule.description = "A log inspection rule"

# Create a log file and add it to the rule
log_file = api.LogFile()
log_file.location = "C/logfile.log"
log_file.format = "eventlog"
log_files = api.LogFiles()
log_files.log_files = [log_file]
li_rule.log_files = log_files

# Define the rule
li_rule.template ="custom"
li_rule.XML = xml

# Add the rule to Server & Workload Protection
log_inspection_rules_api = api.LogInspectionRulesApi(api.ApiClient(configuration))
return log_inspection_rules_api.create_log_inspection_rule(li_rule, api_version)
API呼び出しの認証に関する情報については、Server & Workload Protectionで認証するを参照してください。