PhishERの[Settings](設定)の[Syslog]サブタブから、PhishERプラットフォームに接続されているSyslogサーバーを設定できます。Syslog(System Logging Protocol)は、ネットワークデバイスやサーバーのログを生成するプロトコルです。PhishERプラットフォームとSyslogサーバーを連携させ、PhishERのアクションがトリガーされたときにログを記録できます。
新しいSyslogサーバーの接続
SyslogサーバーをPhishERプラットフォームに接続するには、以下のステップに従って操作します。
- PhishERプラットフォームにログインします。
- [Settings](設定) > [Syslog]に移動します。
- ページの右上隅にある[New Syslog](新しいSyslog)ボタンをクリックします。
-
[Add Syslog Settings](Syslog設定の追加)ポップアップウィンドウが開いたら、Syslogサーバーを設定します。これらの設定の詳細については、以下のスクリーンショットとリストを参照してください。
- [Name](名前):このフィールドに、Syslogサーバーの名前を入力します。
- [Protocol](プロトコル):ドロップダウンメニューから、[TCP]、[UDP]、[TLS]、または[TLS_INSECURE]のいずれかのプロトコルを選択します。
- [Host](ホスト):このフィールドに、SyslogサーバーのホストIPアドレスを入力します。
- [Port](ポート):このフィールドに、Syslogサーバーのポート番号を入力します。
- [Format](フォーマット):ドロップダウンメニューから、Syslogの出力フォーマットとして、[JSON]、[CEF]、または[LEEF]のいずれかを選択します。これらのフォーマットの詳細については、この記事の「Syslogの出力フォーマット」のセクションを参照してください。
- [Create](作成)をクリックします。
SyslogサーバーをPhishERプラットフォームと連携させたら、プラットフォームで発生したイベントを追跡し、ログに記録できます。Syslogサーバーはいくつでも接続できます。PhishERアクションを作成した場合、[Choose how you would like to report this action](このアクションをレポートする方法を選択する)のステップで[Send to Syslog](Syslogに送信)オプションを選択できます。
次に、ドロップダウンメニューを使用からいずれかのSyslogサーバーを選択できます。アクションが実行されると、Syslogサーバーがイベントを記録します。
接続の管理
PhishERの[Settings](設定)の[Syslog]サブタブでは、全てのSyslogサーバーの接続を表示できます。Syslogサーバーの名前をクリックすると、[Update Syslog Settings](Syslog設定の更新)ポップアップウィンドウが開きます。このウィンドウで、そのSyslogサーバーの情報を更新できます。
Syslog設定の詳細については、以下のスクリーンショットとリストを参照してください。
- [New Syslog](新しいSyslog):このボタンをクリックすると、PhishERアカウントに対して新しいSyslogサーバー接続が作成されます。
- [Name](名前):この列には、Syslogサーバーの名前が表示されます。
- [Host](ホスト):この列には、SyslogサーバーのホストIPアドレスが表示されます。
- [Port](ポート):この列には、Syslogサーバーのポート番号が表示されます。
- [Protocol](プロトコル):この列には、Syslogサーバーがクライアントからサーバーへのメッセージを転送するのに使用するプロトコルが表示されます。
- [Format](フォーマット):この列には、Syslogサーバーのレポートの出力フォーマットが表示されます。
- [Actions](アクション):この列には、Syslogエントリで実行可能なアクションが表示されます。ゴミ箱のアイコンをクリックすると、エントリを削除できます。
Syslogの出力フォーマット
Syslogレポートの出力フォーマットとして、JSON、CEF、LEEFを選択できます。各出力フォーマットの例については、以下のサブセクションを参照してください。
JSON
JSON出力フォーマットの例については、以下を参照してください。
{ "receivedAt":"2019-05-20T17:39:43.351851Z",
"reportedAt":"2019-05-20T17:39:39Z", "sender":"sender@example.com",
"reporter":"reporter@example.com", "subject":"JSON Syslog Example",
"priority":"medium", "category":"spam", "status":"received",
"action":"Action 1", "tags":"TagSet" "permalink":"[[Unique URL]]" }
この出力フォーマットの属性の詳細については、以下の表を参照してください。
| 属性 | 詳細 |
|---|---|
| receivedAt |
この属性は、PhishER Inbox(受信箱)がメッセージを受信した日時を示します。 日時のフォーマット:yyyy-MM-dd'T'HH:mm:ss.SSSSSS'Z' |
| reportedAt |
この属性は、ユーザーがメッセージを報告した日時を示します。 日時のフォーマット:yyyy-MM-dd'T'HH:mm:ss.SS'Z' |
| sender | この属性は、メッセージの元のソースに関連付けられているメールアドレスを示します。 |
| reporter | この属性は、メッセージを報告したユーザーのメールアドレスを示します。 |
| subject | この属性は、元のメッセージの件名のテキストを示します。 |
| priority | この属性は、メッセージの優先順位を示します。PhishERでは、[Low](低)、[Medium](中)、[High](高)、[Critical](緊急)、または[Unknown](不明)のいずれかの優先順位が割り当てられます。 |
| category | この属性は、メッセージのカテゴリを示します。PhishERでは、[Clean](クリーン)、[Spam](スパム)、[Threat](脅威)または[Unknown](不明)のいずれかのカテゴリにメッセージが分類されます。 |
| status | この属性は、PhishERにおけるメッセージの分析ステータスを示します。PhishERでは、[Received](受信済み)、[In Review](レビュー中)、[Resolved](解決済み)のステータスが割り当てられます。 |
| action | この属性は、このレポートのトリガーとなったPhishERアクションの名前を示します。 |
| tags | この属性は、メッセージの属性に基づいてメッセージに付けられたラベルが示されます。 |
| permalink | この属性は、PhishER Inbox(受信箱)にあるメッセージに固有のURLを示します。 |
CEF
CEFの出力フォーマットの例については、以下を参照してください。
start=1543962447998 rt=1543962447998 duser=destUserName@example.com
suser=sourceUserName@example.com cat=unknown act=Action1 cs2Label=Status
cs2=received cs3Label=Subject cs3=CEF Syslog Example cs4Label=Tags
cs4=TagSet cs6Label=Permalink cs6=[[Unique URL]]
この出力フォーマットの属性の詳細については、以下の表を参照してください。
| 属性 | 詳細 |
|---|---|
| start |
この属性は、PhishER Inbox(受信箱)がメッセージを受信した日時を示します。日時は、ミリ秒単位で表示されます。 日時のフォーマット:yyyy-MM-dd'T'HH:mm:ss.SSSSSS'Z' |
| rt |
この属性は、ユーザーがメッセージを報告した日時を示します。 日時のフォーマット:yyyy-MM-dd'T'HH:mm:ss.SS'Z' |
| duser | この属性は、メッセージを報告したユーザーのメールアドレスを示します。 |
| suser | この属性は、メッセージの元のソースに関連付けられているメールアドレスを示します。 |
| cat | この属性は、メッセージのカテゴリを示します。PhishERでは、[Clean](クリーン)、[Spam](スパム)、[Threat](脅威)または[Unknown](不明)のいずれかのカテゴリにメッセージが分類されます。 |
| act | この属性は、このレポートのトリガーとなったPhishERアクションの名前を示します。 |
| cs2Label=Status | この属性は、PhishERにおけるメッセージの分析ステータスを示します。PhishERでは、[Received](受信済み)、[In Review](レビュー中)、または[Resolved](解決済み)のステータスが割り当てられます。 |
| cs3Label=Subject | この属性は、元のメッセージの件名のテキストを示します。 |
| cs4Label=Tags | この属性は、メッセージの属性に基づいてメッセージに付けられたラベルが示されます。 |
| cs6Label=Permalink | この属性は、PhishER Inbox(受信箱)にあるメッセージに固有のURLを示します。 |
LEF
LEEFの出力フォーマットの例については、以下を参照してください。
start=1541008403775 rt=1541009403775 duser=destUserName@example.com
usrName=userName@example.com cat=Threat act=Test Action cs2Label=Status
cs2=Pending cs3Label=Priority cs3=High cs4Label=Subject cs4=Testing
Emailcs5Label=Tags cs5=Tag1,Tag2 cs6Label=Permalink cs6=[[Unique URL]]
この出力フォーマットの属性の詳細については、以下の表を参照してください。
| 属性 | 詳細 |
|---|---|
| start |
この属性は、PhishER Inbox(受信箱)がメッセージを受信した日時を示します。日時は、ミリ秒単位で表示されます。 日時のフォーマット:yyyy-MM-dd'T'HH:mm:ss.SSSSSS'Z' |
| rt |
この属性は、ユーザーがメッセージを報告した日時を示します。 日時のフォーマット:yyyy-MM-dd'T'HH:mm:ss.SS'Z' |
| duser | この属性は、メッセージを報告したユーザーのメールアドレスを示します。 |
| usrName | この属性は、メッセージの元のソースに関連付けられているメールアドレスを示します。 |
| cat | この属性は、メッセージのカテゴリを示します。PhishERでは、[Clean](クリーン)、[Spam](スパム)、[Threat](脅威)または[Unknown](不明)のいずれかのカテゴリにメッセージが分類されます。 |
| act | この属性は、このレポートのトリガーとなったPhishERアクションの名前を示します。 |
| cs2Label=Status | この属性は、PhishERにおけるメッセージの分析ステータスを示します。PhishERでは、[Pending](保留中)、[Received](受信済み)、[In Review](レビュー中)、または[Resolved](解決済み)のステータスが割り当てられます。 |
| cs3Label=Priority | この属性は、メッセージの優先順位を示します。PhishERでは、[Low](低)、[Medium](中)、[High](高)、[Critical](緊急)、または[Unknown](不明)のいずれかの優先順位が割り当てられます。 |
| cs4Label=Subject | この属性は、元のメッセージの件名のテキストを示します。 |
| cs5Label=Tags | この属性は、メッセージの属性に基づいてメッセージに付けられたラベルが示されます。 |
| cs6Label=Permalink | この属性は、PhishER Inbox(受信箱)にあるメッセージに固有のURLを示します。 |