ログとイベントの保存に関するベストプラクティス

ログとイベントのデータの保存に関するベストプラクティスは、準拠する必要があるPCIやHIPAAなどの規制に応じて異なります。また、データベースを最適に使用できるように考慮する必要があります。保存するデータが多すぎると、データベースのパフォーマンスやサイズの要件に影響する可能性があります。

データベースに保存するデータが多すぎる場合は、エラーメッセージが表示されてデータベースの処理を実行できなくなったり、ソフトウェアアップデートをインポートできなくなったり、単純にDeep Securityの処理全体が遅くなったりする現象が生じることがあります。

上記の現象を回避するには、次の手順に従います。

  1. 準拠する標準の要件に合わせて、保存するシステムイベントを設定します。

  2. システムおよびモジュールのイベントをSyslogサーバまたはSIEMに転送するように設定します。詳細については、外部のSyslogサーバまたはSIEMサーバへのイベントの転送を参照してください。これにより、必要に応じて [ストレージ] タブで保持期間を短縮できるようになります。

  3. セキュリティログ監視モジュールで、イベントの保存と転送に関するしきい値を設定します。これにより、Deep Securityのドキュメントで「重要度に基づく削除」と呼んでいる機能を使用して、syslogサーバ (有効な場合) へのイベントの送信やイベントの保存をセキュリティログ監視ルールの重要度に基づいて制御することができます。詳細については、イベントの保存と転送に関するしきい値を参照してください。

次の表に、ローカルストレージの初期設定を示します。これらの設定を変更するには、[管理]→[システム設定]→[ストレージ] の順に選択します。ソフトウェアのバージョンまたは古いルールのアップデートを削除するには、 の[管理]→[アップデート]→[ソフトウェア]→[ローカル ]または[の管理]→[アップデート]→[セキュリティ]→[ルール]の順に選択します。

データベースのディスク使用量を削減するには、イベントを外部SyslogサーバまたはSIEMに転送し、ローカルのイベント保持期間を短縮します。ローカルではカウンタのみを保持してください。
データタイプの設定 データ削除の初期設定
次の日数を経過した不正プログラム対策イベントを自動的に削除する: 7日間
次の日数を経過したWebレピュテーションイベントを自動的に削除する: 7日間
次の日数を経過したファイアウォールイベントを自動的に削除する: 7日間
次の日数を経過した侵入防御イベントを自動的に削除する: 7日間
次の日数を経過した変更監視イベントを自動的に削除する: 7日間
次の日数を経過したセキュリティログ監視イベントを自動的に削除する: 7日間
次の日数を経過したアプリケーションコントロールイベントを自動的に削除する: 7日間
次の期間を経過したシステムイベントを自動的に削除する: 53週間
次の期間を超過したサーバログを自動的に削除する: 7日間
次の期間を経過したカウンタを自動的に削除する: 13週間
プラットフォームごとに保持しておく古いソフトウェアバージョンの数:* 5件まで
保持しておく古いルールアップデートの数: 10件まで

* マルチテナントを有効にした場合、この設定は使用できません。

ソフトウェアバージョンまたは古いルールアップデートを削除するには、[管理]→[アップデート]→[ソフトウェア]→[ローカル] または [管理]→[アップデート]→[セキュリティ]→[ルール] に移動します。