48 48 48 48
49 49 49 49
表26 監視エージェントとマネージャ間のメッセージ種別
メッセージ種別 内容 メッセージ
の方向 起動通知 セキュリティ監視エージェントが起動したことをセキュ
リティ監視マネージャに通知するメッセージ。 A→M 起動確認 起動通知を受けてセキュリティ監視マネージャからセキ
ュリティ監視エージェントに返す応答メッセージ。 M→A 起動要求 セキュリティ監視マネージャからセキュリティ監視エー
ジェントに起動を要求するメッセージ。 M→A 起動応答 起動要求を受けてセキュリティ監視エージェントからセ
キュリティ監視マネージャに返す応答メッセージ。 A→M 停止通知 セキュリティ監視マネージャに対してセキュリティ監視
エージェントの停止を通知するメッセージ。 A→M 停止確認 停止通知を受けてセキュリティ監視マネージャからセキ
ュリティ監視エージェントに返す応答メッセージ。 M→A 停止要求 セキュリティ監視マネージャからセキュリティ監視エー
ジェントの停止を要求するメッセージ。 M→A 停止応答 停止要求を受けてセキュリティ監視エージェントからセ
キュリティ監視マネージャに返す応答メッセージ。 A→M 状態監視要求 セキュリティ監視マネージャからセキュリティ監視エー
ジェントを監視するために送信されるメッセージ。セキ ュリティ監視マネージャから定期的に送信される。
M→A 状態監視応答 状態監視要求を受けてセキュリティ監視エージェントか
らセキュリティ監視マネージャに返す応答メッセージ。 A→M 検知通知 セキュリティ監視エージェントが不正アクセスを検知し
たことをセキュリティ監視マネージャに通知するメッセ ージ。
A→M 検知確認 検知通知を受けてセキュリティ監視マネージャからセキ
ュリティ監視エージェントに返す応答メッセージ。 M→A 状態問合要求
(ログ収集)
セキュリティ監視マネージャからセキュリティ監視エー
ジェントに対してログ情報を問合せるメッセージ。 M→A 状態問合応答 状況問合を受けてセキュリティ監視エージェントからセ
キュリティ監視マネージャに返す応答メッセージ。 A→M フィルタ設定要求 セキュリティ監視マネージャからセキュリティ監視エー
ジェントに対して、不正アクセス検知のためのフィルタ 情報を配布するためのメッセージ。
M→A フィルタ設定確認 フィルタ設定要求を受けて、セキュリティ監視エージェ
ントからセキュリティ監視マネージャに返す応答メッセ ージ。
A→M A:Agent M:Manager
50 50 50 50
(3) データ形式 データ形式 データ形式 データ形式
(i) メッセージ形式 メッセージ形式 メッセージ形式 メッセージ形式
セキュリティ監視マネージャとセキュリティ監視エージェント間のメッセージ形式を以 下に示す。
<メッセージ>::=<共通部><固有部>
<共通部>::=<ヘッダ情報><レスポンス情報><事象情報><問合情報>
<ヘッダ情報>::=<プロトコルバージョン><メッセージ種別>
<シーケンス番号><マネージャID>
<エージェントID>
<エンティティID>
<レスポンス情報>::=<レスポンスコード>
<事象情報>::=<事象識別子><被害識別子><事象発生時刻><事象検知ログ>
<問合情報>::=<問合パラメータ><問合結果>
<固有部>::=<固有情報>
51 51 51 51
表27 メンバ詳細
項目 ユニーク性 説明
プロトコルバージョン 本規定 本プロトコルのバージョン メッセージ種別 本規定 メッセージの種別を識別す
る。表26参照。
シーケンス番号 メッセージを識別する番号 管理マネージャID サイト セキュリティ監視マネージャ
を識別するID
エージェントID サイト セキュリティ監視エージェン トを識別するID
ヘ ッ ダ 情 報
エンティティID サイト エンティティを識別するID レ
ス ポ ン ス 情 報
レスポンスコード 本規定 要求に対する処理の結果を表 すコード。
表28に例を示す。
事象識別子 本規定 監視エージェントが検知した 事象を一意に識別する情報 被害識別子 本規定 被害が発生したかどうかを識
別する情報。
表29に例を示す。
事象発生時刻 事象が発生した時刻
事 象 情 報
事象検知ログ エンティティで獲得したログ
項目の値が得られるもの 問合パラメータ 問合せに必要なパラメータ 問
合 情 報
問合結果 問合せの結果を示す情報
固有情報 エージェント種別により固有
の情報。Xは1文字以上の英 数字
52 52 52 52
表28 レスポンスコードの例 正常終了
プロトコルバージョンが不一致な場合
メッセージ送受信先のエージェント ID が一致し ない場合
メッセージ送受信先の監視マネージャ ID が一致 しない場合(起動応答、停止応答)
問合せパラメータが解釈不能だった場合(状況問 合応答)
予期しないエラーが発生した場合 (状況問合応答、)
未サポートメッセージを受信した場合。
パラメータが不足している場合
パラメータの値が規約に違反している場合 内部エラー
エンティティに到達できない場合 エージェントが動作しない場合 上記以外の場合
表29 被害識別子の例 被害あり
被害なし 被害状況不明
53 53 53 53