JSON形式のイベント

Amazon SNSに公開される際、イベントは文字列にエンコードされるJSONオブジェクトの配列として、SNS Messageで送信されます。配列内の各オブジェクトが1つのイベントです。

有効なプロパティはイベントの種類によって異なります。たとえば、MajorVirusTypeはDeep Security不正プログラム対策イベントのみに有効なプロパティであり、システムイベントなどには適用されません。有効なプロパティ値はプロパティごとに異なります。例については、を参照してください。JSON形式のイベントの例.

イベントプロパティ値は、SNSトピックに公開されるイベントをフィルタする際に使用できます。詳細については、JSON形式でのSNS設定.

有効なイベントプロパティ

イベントによっては、その種類のイベントに通常適用されるプロパティの一部を備えていない場合があります。

プロパティ名 データタイプ 説明 適用されるイベントの種類
Action 文字列 (列挙) アプリケーションコントロールイベントに対して実行された処理。「ソフトウェアの実行をルールでブロック」、「承認されていないソフトウェアの実行を許可」(検出のみモードのため)、「承認されていないソフトウェアの実行をブロック」など。 アプリケーションコントロールイベント
Action 整数 (列挙) ファイアウォールイベントに対して実行された処理。[検出のみ] の値は、ルールが有効になっていた場合に実行されたであろう処理を示します。0=不明、1=拒否、6=ログのみ、0x81=検出のみ: 拒否。 ファイアウォールイベント
Action 整数 (列挙) 侵入防御イベントに対して実行された処理。0=不明、1=拒否、2=リセット、3=挿入、4=削除、5=置換、6=ログのみ、0x81=検出のみ: 拒否、0x82=検出のみ: リセット、0x83=検出のみ: 挿入、0x84=検出のみ: 削除、0x85=検出のみ: 置換。 侵入防御イベント
ActionBy 文字列 イベントを実行したDeep Security Managerユーザの名前。ユーザによって生成されたイベントでない場合は「システム」になります。 システムイベント
ActionString 文字列 処理の文字列への変換。 ファイアウォールイベント、侵入防御イベント
AdministratorID 整数 処理を実行したDeep Securityユーザの一意の識別子。ユーザではなくシステムによって生成されたイベントには、識別子は割り当てられません。 システムイベント
AggregationType 整数 (列挙) アプリケーションコントロールイベントが繰り返し発生したかどうか。「AggregationType」が「0」以外の場合、発生回数が「RepeatCount」に入ります。0=未集計、1=ファイル名、パス、およびイベントの種類に基づいた集計、2=イベントの種類に基づいた集計 アプリケーションコントロールイベント
ApplicationType 文字列 侵入防御ルールに関連付けられたネットワークアプリケーションの種類の名前 (該当する場合)。 侵入防御イベント
BlockReason 整数 (列挙) 処理に応じた実行理由。0=不明、1=ルールによってブロック、2=承認されていないためブロック アプリケーションコントロールイベント
Change 整数 (列挙) 変更監視イベントでファイル、プロセス、レジストリキーなどに対して行われた変更の種類。1=作成、2=アップデート、3=削除、4=拡張子変更。 変更監視イベント
ContainerID 文字列 不正プログラムが検出されたDockerコンテナのID。 不正プログラム対策イベント
ContainerImageName 文字列 不正プログラムが検出されたDockerコンテナのイメージ名。 不正プログラム対策イベント
ContainerName 文字列 不正プログラムが検出されたDockerコンテナの名前。 不正プログラム対策イベント
Description 文字列 エンティティに対して行われた変更 (作成、削除、アップデート) の説明と変更された属性に関する詳細。 変更監視イベント
Description 文字列 イベントの内容を示す簡単な説明。 システムイベント
DestinationIP 文字列 (IP) パケットの送信先のIPアドレス。 ファイアウォールイベント、侵入防御イベント
DestinationMAC 文字列 (MAC) パケットの送信先のMACアドレス。 ファイアウォールイベント、侵入防御イベント
DestinationPort 整数 パケットの送信先のネットワークポート番号 ファイアウォールイベント、侵入防御イベント
DetectionCategory 整数 (列挙) Webレピュテーションイベントの検出カテゴリ。12=ユーザ定義、13=カスタム、91=グローバル。 Webレピュテーションイベント
DetectOnly ブール イベントが返されたときに [検出のみ] フラグがオンだったかどうか。trueの場合、URLへのアクセスが検出されましたが、ブロックはされていません。 Webレピュテーションイベント
Direction 整数 (列挙) ネットワークパケットの方向。0=受信、1=送信。 ファイアウォールイベント、侵入防御イベント
DirectionString 文字列 方向の文字列への変換。 ファイアウォールイベント、侵入防御イベント
DriverTime 整数 ドライバで記録されたログ生成時刻。 ファイアウォールイベント、侵入防御イベント
EndLogDate 文字列 (日付) 繰り返し発生したイベントについての最終ログ日付。繰り返し発生したイベント以外に対しては表示されません。 ファイアウォールイベント、侵入防御イベント
EngineType 整数 不正プログラム対策エンジンの種類。 不正プログラム対策イベント
EngineVersion 文字列 不正プログラム対策エンジンのバージョン。 不正プログラム対策イベント
EntityType 文字列 (列挙) 変更監視イベントが該当するエンティティの種類: Directory、File、Group、InstalledSoftware、Port、Process、RegistryKey、RegistryValue、Service、User、またはWql 変更監視イベント
ErrorCode 整数 不正プログラム検索イベントのエラーコード。0以外の場合、検索に失敗したことを示しており、検索処理および検索結果のフィールドに詳細が表示されます。 不正プログラム対策イベント
EventID 整数 イベントの識別子。識別子は同じ種類のイベントでは一意ですが、種類が異なるイベントでは同じになる場合があります。たとえば、EventTypeがファイアウォールとIPSのイベントのEventIDがどちらも1になることがあります。Deep Securityでイベントを完全かつ一意に識別するには、EventID、EventType、およびTenantIDを組み合わせる必要があります。このプロパティはDeep Security Managerのシステムイベントの「イベントID」プロパティには関連付けられていません。 すべての種類のイベント
EventType 文字列 (列挙) イベントの種類。次のいずれかです: 「SystemEvent」、「PacketLog」、「PayloadLog」、「AntiMalwareEvent」、「WebReputationEvent」、「IntegrityEvent」、「LogInspectionEvent」、「AppControlEvent」。 すべての種類のイベント
FileName 文字列 「script.sh」など、許可またはブロックされたソフトウェアのファイル名(フルパスは「Path」内に分けられています)。 アプリケーションコントロールイベント
Flags 文字列 ネットワークパケットから記録されたフラグ (スペース区切りの文字列のリスト)。 ファイアウォールイベント、侵入防御イベント
Flow 整数 (列挙) ネットワーク接続フロー。有効な値: -1=利用不可、0=接続フロー、1=リバースフロー ファイアウォールイベント、侵入防御イベント
FlowString 文字列 フローの文字列への変換。 ファイアウォールイベント、侵入防御イベント
Frame 整数 (列挙) フレームの種類。-1=不明、2048=IP、2054=ARP、32821=REVARP、33169=NETBEUI、0x86DD=IPv6 ファイアウォールイベント、侵入防御イベント
FrameString 文字列 Frameの内容を示す文字列。 ファイアウォールイベント、侵入防御イベント
GroupID 文字列 「0」など、ソフトウェアを起動しようとしたユーザアカウントのグループID (ある場合)。 アプリケーションコントロールイベント
GroupName 文字列 「root」など、ソフトウェアを起動しようとしたユーザアカウントのグループ名 (ある場合)。 アプリケーションコントロールイベント
HostAgentVersion 文字列 イベントが検出されたコンピュータを保護していたDeep Security Agentのバージョン。 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
HostAgentGUID 文字列 Deep Security Managerで有効化された場合のDeep Security Agentのグローバル一意識別子 (GUID)。 アプリケーションコントロールイベント
HostAssetValue 整数 イベントが生成された時点のコンピュータの資産評価。 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
HostGroupID 整数 イベントが検出されたコンピュータが属するコンピュータグループの一意の識別子。 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
HostGroupName 文字列 イベントが検出されたコンピュータが属するコンピュータグループの名前。コンピュータグループ名は一意とは限らないことに注意してください。 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
HostID 整数 イベントが発生したコンピュータの一意の識別子。 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
HostInstanceID 文字列 イベントが検出されたコンピュータのクラウドインスタンスID。このプロパティは、クラウドコネクタと同期されたコンピュータに対してのみ設定されます。 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
Hostname 文字列 イベントが生成されたコンピュータのホスト名。 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
HostOS 文字列 イベントが検出されたコンピュータのOS。 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
HostOwnerID 文字列 イベントが検出されたコンピュータのクラウドアカウントID。このプロパティは、クラウドコネクタと同期されたコンピュータに対してのみ設定されます。 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
HostSecurityPolicyID 整数 イベントが検出されたコンピュータに適用されているDeep Securityポリシーの一意の識別子。 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
HostSecurityPolicyName 文字列 イベントが検出されたコンピュータに適用されているDeep Securityポリシーの名前。セキュリティポリシー名は一意とは限らないことに注意してください。 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
HostVCUUID 文字列 イベントが適用されるコンピュータのvCenter UUID (特定された場合)。 不正プログラム対策イベント、Webレピュテーションイベント、変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
InfectedFilePath 文字列 不正プログラム検出で見つかった感染ファイルのパス。 不正プログラム対策イベント
InfectionSource 文字列 不正プログラム感染元のコンピュータの名前 (特定された場合)。 不正プログラム対策イベント
Interface 文字列 (MAC) パケットを送信または受信するネットワークインタフェースのMACアドレス。 ファイアウォールイベント、侵入防御イベント
IPDatagramLength 整数 IPデータグラムの長さ。 侵入防御イベント
IsHash 文字列 ファイルの変更後のSHA-1コンテンツハッシュ (16進エンコード)。 変更監視イベント
Key 文字列 整合性イベントが参照しているファイルまたはレジストリキー。 変更監視イベント
LogDate 文字列 (日付) イベントが記録された日時。Deep Security Agentで生成されたイベント (ファイアウォールやIPSなど) の場合は、Deep Security Managerでイベントを受信した日時ではなく、Agentでイベントを記録した日時です。 すべての種類のイベント
MajorVirusType 整数 (列挙) 検出された不正プログラムの分類。0=ジョーク、1=トロイの木馬、2=ウイルス、3=テスト、4=スパイウェア、5=パッカー、6=一般的なプログラム、7=その他 不正プログラム対策イベント
MajorVirusTypeString 文字列 MajorVirusTypeの内容を示す文字列。 不正プログラム対策イベント
MalwareName 文字列 検出された不正プログラムの名前。 不正プログラム対策イベント
MalwareType 整数 (列挙) 検出された不正プログラムの種類。1=一般的な不正プログラム、2=スパイウェア。一般的な不正プログラムの場合はInfectedFilePathが表示され、スパイウェアの場合は表示されません。 不正プログラム対策イベント
ManagerNodeID 整数 イベントが生成されたDeep Security Managerノードの一意の識別子。 システムイベント
ManagerNodeName 文字列 イベントが生成されたDeep Security Managerノードの名前。 システムイベント
MD5 文字列 ソフトウェアのMD5チェックサム (ハッシュ) (ある場合)。 アプリケーションコントロールイベント
Number 整数 システムイベントにイベントを識別する追加IDが指定されています。Deep Security Managerで、このプロパティが「イベントID」として表示されます。 システムイベント
Operation 整数 (列挙) 0=不明、1= 検出のみモードのため許可、2=ブロック アプリケーションコントロール
Origin 整数 (列挙) イベントの生成元。-1=不明、0=Deep Security Agent、1=VMのゲストエージェント、2=Deep Security Appliance、3=Deep Security Manager すべての種類のイベント
OriginString 文字列 Originの内容を示す判読可能な文字列。 すべての種類のイベント
OSSEC_Action 文字列 OSSECの処理 セキュリティログ監視イベント
OSSEC_Command 文字列 OSSECのコマンド セキュリティログ監視イベント
OSSEC_Data 文字列 OSSECのデータ セキュリティログ監視イベント
OSSEC_Description 文字列 OSSECの説明 セキュリティログ監視イベント
OSSEC_DestinationIP 文字列 OSSECの送信先IP セキュリティログ監視イベント
OSSEC_DestinationPort 文字列 OSSECの送信先ポート セキュリティログ監視イベント
OSSEC_DestinationUser 文字列 OSSECの送信先ユーザ セキュリティログ監視イベント
OSSEC_FullLog 文字列 OSSECの完全なログ セキュリティログ監視イベント
OSSEC_Groups 文字列 OSSECのグループの結果 (例: syslog,authentication_failure) セキュリティログ監視イベント
OSSEC_Hostname 文字列 OSSECのホスト名。これはログエントリから読み取られたホストの名前であり、イベントが生成されたホストの名前と同じとは限りません。 セキュリティログ監視イベント
OSSEC_ID 文字列 OSSECのID セキュリティログ監視イベント
OSSEC_Level 整数 (列挙) OSSECのレベル。0~15の整数。0~3=重要度: 低、4~7=重要度: 中、8~11=重要度: 高、12~15=重要度: 重大。 セキュリティログ監視イベント
OSSEC_Location 文字列 OSSECの場所 セキュリティログ監視イベント
OSSEC_Log 文字列 OSSECのログ セキュリティログ監視イベント
OSSEC_ProgramName 文字列 OSSECのプログラム名 セキュリティログ監視イベント
OSSEC_Protocol 文字列 OSSECのプロトコル セキュリティログ監視イベント
OSSEC_RuleID 整数 OSSECのルールID セキュリティログ監視イベント
OSSEC_SourceIP 整数 OSSECの送信元IP セキュリティログ監視イベント
OSSEC_SourcePort 整数 OSSECの送信元ポート セキュリティログ監視イベント
OSSEC_SourceUser 整数 OSSECの送信元ユーザ セキュリティログ監視イベント
OSSEC_Status 整数 OSSECのステータス セキュリティログ監視イベント
OSSEC_SystemName 整数 OSSECのシステム名 セキュリティログ監視イベント
OSSEC_URL 整数 OSSECのURL セキュリティログ監視イベント
PacketData 整数 取り込まれたパケットデータの16進エンコード (パケットデータを取り込むようにルールで設定されている場合)。 侵入防御イベント
PacketSize 整数 ネットワークパケットのサイズ。 ファイアウォールイベント
Path 文字列 「/usr/bin/」など、許可またはブロックされたソフトウェアファイルのディレクトリパス(ファイル名は「FileName」内に分けられています)。 アプリケーションコントロールイベント
PatternVersion 整数 (列挙) 不正プログラム検出パターンファイルのバージョン。 不正プログラム対策イベント
PayloadFlags 整数 侵入防御フィルタフラグ。次のフラグ値を含むビットマスク値: 1 - データ切り捨て - データをログに記録できませんでした。2 - ログオーバーフロー - このログの後にログがオーバーフローしました。4 - 抑制 - このログの後にログ数のしきい値が抑制されました。8 - データあり - パケットデータが格納されています。16 - 参照データ - 以前にログに記録されたデータを参照しています。 侵入防御イベント
PosInBuffer 整数 イベントをトリガしたデータのパケット内の位置。 侵入防御イベント
PosInStream 整数 イベントをトリガしたデータのストリーム内の位置。 侵入防御イベント
Process 文字列 イベントを生成したプロセスの名前 (該当する場合)。 変更監視イベント
ProcessID 整数 イベントを生成したプロセスの識別子 (PID) (該当する場合)。 アプリケーションコントロールイベント
ProcessName 文字列 「/usr/bin/bash」など、イベントを生成したプロセスの名前 (該当する場合)。 アプリケーションコントロールイベント
Protocol 整数 (列挙) ネットワークプロトコルのID。-1=不明、1=ICMP、2=IGMP、3=GGP、6=TCP、12=PUP、17=UDP、22=IDP、58=ICMPv6、77=ND、255=RAW ファイアウォールイベント、侵入防御イベント
ProtocolString 文字列 Protocolの内容を示す文字列。 ファイアウォールイベント、侵入防御イベント
Rank 整数 イベントのランク。コンピュータに割り当てられている資産評価に、この重要度のイベントに対して設定されている重要度の値を掛けた数値です。 変更監視イベント、セキュリティログ監視イベント、ファイアウォールイベント、侵入防御イベント
Reason 文字列 イベントのトリガとなったDeep Securityルールまたは設定オブジェクトの名前。ファイアウォールと侵入防御の場合、ルール以外がトリガとなったイベントではステータスにマッピングされた文字列になります。アプリケーションコントロールでは、「Reason」が「なし」になる場合があります。その場合は、代わりに「BlockReason」を参照してください。 ファイアウォール、侵入防御、変更監視、不正プログラム対策、およびアプリケーションコントロールイベント
RepeatCount 整数 このイベントが繰り返し発生した回数。1の場合は、イベントが1回だけ確認され、その後に繰り返されていないことを示しています。 ファイアウォールイベント、侵入防御イベント、アプリケーションコントロールイベント
Risk 整数 (列挙) アクセスしたURLのリスクレベル: 変換後。2=不審、3=非常に不審、4=危険、5=未評価、6=管理者によるブロック Webレピュテーションイベント
RiskLevel 整数 URLのリスクレベル: 変換前 (0~100)。URLがブロックルールによってブロックされた場合は表示されません。 Webレピュテーションイベント
RiskString 文字列 Riskの内容を示す文字列。 Webレピュテーションイベント
ScanAction1 整数 検索処理1。検索処理1と2、検索結果処理1と2、およびエラーコードの組み合わせによって1つの「summaryScanResult」が生成されます。 不正プログラム対策イベント
ScanAction2 整数 検索処理2。 不正プログラム対策イベント
ScanResultAction1 整数 検索結果処理1。 不正プログラム対策イベント
ScanResultAction2 整数 検索結果処理2。 不正プログラム対策イベント
ScanResultString 文字列 不正プログラム検索の結果を示す文字列。ScanAction 1と2、ScanActionResult 1と2、およびErrorCodeの組み合わせです。 不正プログラム対策イベント
ScanType 整数 (列挙) イベントを生成した不正プログラム検索の種類。0=リアルタイム、1=手動、2=予約、3=クイック検索 不正プログラム対策イベント
ScanTypeString 文字列 ScanTypeの内容を示す文字列。 不正プログラム対策イベント
Severity 整数 1=情報、2=警告、3=エラー システムイベント
Severity 整数 (列挙) 1=低、2=中、3=高、4=重大 変更監視イベント、侵入防御イベント
SeverityString 文字列 Severityの内容を示す判読可能な文字列。 システムイベント、変更監視イベント、侵入防御イベント
SeverityString 文字列 OSSEC_Levelの内容を示す判読可能な文字列。 セキュリティログ監視イベント
SHA1pacteracontextmathced 文字列 ソフトウェアのSHA-1チェックサム (ハッシュ) (ある場合)。 アプリケーションコントロールイベント
SHA256pacteracontextmathced 文字列 ソフトウェアのSHA-256チェックサム (ハッシュ) (ある場合)。 アプリケーションコントロールイベント
SourceIP 文字列 (IP) パケットの送信元IPアドレス。 ファイアウォールイベント、侵入防御イベント
SourceMAC 文字列 (MAC) パケットの送信元MACアドレス。 ファイアウォールイベント、侵入防御イベント
SourcePort 整数 パケットのネットワーク送信元ポート番号。 ファイアウォールイベント、侵入防御イベント
Status 整数 このイベントが特定のファイアウォールルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: 123=ポリシーで未許可 ファイアウォールイベント
Status 整数 このイベントが特定の侵入防御ルールによって生成されたものでない場合は、約50個のハードコードされたルールのうちのいずれかになります。例: -504=無効なUTF8の符号化 侵入防御イベント
Tags 文字列 イベントに適用されているタグのカンマ区切りのリスト。このリストには、イベントの生成時に自動的に適用されるタグのみが含まれます。 すべての種類のイベント
TagSetID 整数 イベントに適用されたタグのグループの識別子。 すべての種類のイベント
TargetID 整数 イベントの対象の一意の識別子。この識別子は、テナント内の同じ種類の対象では一意ですが、異なる種類の対象では同じになる場合があります。たとえば、コンピュータとポリシーの対象IDがどちらも10になることがあります。 システムイベント
TargetIP 文字列 (IP) Webレピュテーションイベントの生成時にアクセスしていたIPアドレス。 Webレピュテーションイベント
TargetName 文字列 イベントの対象の名前。システムイベントの対象は、コンピュータ、ポリシー、ユーザ、ロール、タスクなど、さまざまです。 システムイベント
TargetType 文字列 イベントの対象の種類。 システムイベント
TenantID 整数 イベントに関連付けられたテナントの一意の識別子。 すべての種類のイベント
TenantName 文字列 イベントに関連付けられたテナントの名前。 すべての種類のイベント
Title 文字列 イベントのタイトル。 システムイベント
URL 文字列 (URL) イベントの生成時にアクセスしていたURL。 Webレピュテーションイベント
User 文字列 変更監視イベントの対象となったユーザアカウント (特定された場合)。 変更監視イベント
UserID 文字列 「0」など、ソフトウェアを起動しようとしたユーザアカウントのユーザID (UID) (ある場合)。 アプリケーションコントロールイベント
UserName 文字列 「root」など、ソフトウェアを起動しようとしたユーザアカウントのユーザ名 (ある場合)。 アプリケーションコントロールイベント

イベントプロパティのデータタイプ

JSONとして転送されるイベントでは、通常は他のデータタイプのエンコードに文字列が使用されます。
データタイプ説明
ブールJSON trueまたはfalse
整数

JSON int.Deep Securityのイベントでは、浮動小数点数は出力されません。

イベント内の整数は32ビットを超えることがあります。イベント処理用のコードでこの整数を処理できることを確認してください。たとえば、JavaScriptのNumberデータタイプは、32ビットを超える整数を安全に処理できません

整数 (列挙)JSON int。一連の列挙値に限定されます。
文字列JSON string.
文字列 (日付)JSON string。日時として、YYYY-MM-DDThh:mm:ss.sssZのパターン (ISO 8601) で形式設定されています。「Z」はタイムゾーンです。「sss」は1秒未満の秒数を表す3桁です。W3Cの日付と時刻の形式に関する説明も参照してください。
文字列 (IP)JSON string。IPv4またはIPv6アドレスとして形式設定されています。
文字列 (MAC)JSON string。ネットワークMACアドレスとして形式設定されています。
文字列 (URL)JSON string。URLとして形式設定されています。
文字列 (列挙)JSON string。一連の列挙値に限定されます。

JSON形式のイベントの例

システムイベント

{
  "Type" :            "Notification",
  "MessageId" :       "123abc-123-123-123-123abc",
  "TopicArn" :        "arn:aws:sns:us-west-2:123456789:DS_Events",
  "Message" :         "[
                        {
                          "ActionBy":"System",
                          "Description":"Alert: New Pattern Update is Downloaded and Available\\nSeverity: Warning\",
                          "EventID":6813,
                          "EventType":"SystemEvent",
                          "LogDate":"2018-12-04T15:54:24.086Z",
                          "ManagerNodeID":123,
                          "ManagerNodeName":"job7-123",
                          "Number":192,
                          "Origin":3,
                          "OriginString":"Manager",
                          "Severity":1,
                          "SeverityString":"Info",
                          "Tags":"\",
                          "TargetID":1,
                          "TargetName":"ec2-12-123-123-123.us-west-2.compute.amazonaws.com",
                          "TargetType":"Host",
                          "TenantID":123,
                          "TenantName":"Umbrella Corp.",
                          "Title":"Alert Ended"
                        }
                      ]",
  "Timestamp" :       "2018-12-04T15:54:25.130Z",
  "SignatureVersion" : "1",
  "Signature" :       "500PER10NG5!gnaTURE==",
  "SigningCertURL" :  "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
  "UnsubscribeURL" :  "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}
      

不正プログラム対策イベント

各SNS Messageに複数のウイルス検出イベントを含めることができます(簡略化のため、次の例では繰り返されるイベントプロパティを省略し、「...」で示しています)。

{
  "Type" :            "Notification",
  "MessageId" :       "123abc-123-123-123-123abc",
  "TopicArn" :        "arn:aws:sns:us-west-2:123456789:DS_Events",
  "Message" :         "[
                        {
                          "AMTargetTypeString":"N/A",
                          "ATSEDetectionLevel":0,
                          "CreationTime":"2018-12-04T15:57:18.000Z",
                          "EngineType":1207959848,
                          "EngineVersion":"10.0.0.1040",
                          "ErrorCode":0,
                          "EventID":1,
                          "EventType":"AntiMalwareEvent",
                          "HostAgentGUID":"4A5BF25A-4446-DD8B-DFB7-564C275F5F6B",
                          "HostAgentVersion":"11.1.0.163",
                          "HostID":1,
                          "HostOS":"Amazon Linux (64 bit) (4.14.62-65.117.amzn1.x86_64)",
                          "HostSecurityPolicyID":3,
                          "HostSecurityPolicyName":"PolicyA",
                          "Hostname":"ec2-12-123-123-123.us-west-2.compute.amazonaws.com",
                          "InfectedFilePath":"/tmp/eicar_1543939038890.txt",
                          "LogDate":"2018-12-04T15:57:19.000Z",
                          "MajorVirusType":2,
                          "MajorVirusTypeString":"Virus",
                          "MalwareName":"Eicar_test_file",
                          "MalwareType":1,
                          "ModificationTime":"2018-12-04T15:57:18.000Z",
                          "Origin":0,
                          "OriginString":"Agent",
                          "PatternVersion":"14.665.00",
                          "Protocol":0,
                          "Reason":"Default リアルタイム検索 Configuration",
                          "ScanAction1":4,
                          "ScanAction2":3,
                          "ScanResultAction1":-81,
                          "ScanResultAction2":0,
                          "ScanResultString":"Quarantined",
                          "ScanType":0,
                          "ScanTypeString":"Real Time",
                          "Tags":"\",
                          "TenantID":123,
                          "TenantName":"Umbrella Corp."},
                        {
                          "AMTargetTypeString":"N/A",
                          "ATSEDetectionLevel":0,
                          "CreationTime":"2018-12-04T15:57:21.000Z",
                          ...},
                        {
                          "AMTargetTypeString":"N/A",
                          "ATSEDetectionLevel":0,
                          "CreationTime":"2018-12-04T15:57:29.000Z",
                          ...
                        }
                      ]",
  "Timestamp" :       "2018-12-04T15:57:50.833Z",
  "SignatureVersion" : "1",
  "Signature" :       "500PER10NG5!gnaTURE==",
  "SigningCertURL" :  "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-abc123.pem",
  "UnsubscribeURL" :  "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:123456:DS_Events:123abc-123-123-123-123abc"
}