Deep Securityのイベント

Deep Securityエージェントは、保護モジュールのルールまたは条件がトリガされたときに記録します（セキュリティイベント").エージェントとDeep SecurityManagerは、管理イベントやシステム関連のイベントが発生した場合にも記録を作成します（システム管理者がログインしたシステムイベント"), 、またはアップグレード対象のエージェントソフトウェアなど）。イベントデータを使用して、さまざまなレポートとグラフが表示されます。Deep Securityマネージャ。

イベントを表示するには、 イベントとレポート タブに移動します。Deep Securityマネージャ。

このトピックの内容:

• Agentでのイベントログの場所
• イベントがManagerに送信されるタイミング
• イベントが保持される期間
• システムイベント
• セキュリティイベント
• ログのパフォーマンス

Agentでのイベントログの場所

イベントログの場所はOSによって異なります。Windowsの場合は、次の場所に保存されます。

C:\Program Data\Trend Micro\Deep Security Agent\Diag

Linuxの場合は、次の場所に保存されます。

/var/opt/ds_agent/diag

イベントがManagerに送信されるタイミング

コンピュータで発生するほとんどのイベントは、次回のハートビート処理時にDeep Security Managerに送信されます。ただし、例外として、通信の設定で、Relay/Agent/Applianceから通信を開始できるようになっている場合、次のイベントはすぐに送信されます。

• スマートスキャンサーバがオフライン
• スマートスキャンサーバがオンライン復帰
• 変更監視検索が完了
• 変更監視のベースライン作成
• 変更監視ルール内に認識できないエレメント
• 変更監視ルールのエレメントがローカルプラットフォームでサポートされていない
• 異常な再起動の検出
• ディスク容量不足の警告
• セキュリティログ監視がオフライン
• セキュリティログ監視がオンライン復帰
• 攻撃の予兆検索の検出 (コンピュータまたはポリシーエディタ これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [ファイアウォール]→[攻撃の予兆] で、設定が有効になっている場合)

イベントが保持される期間

イベントは、Deep Security Managerによって収集された後、[管理]→[システム設定]→[ストレージ] 画面で指定された一定の期間保持されます。

システムイベント

Deep Securityのシステムイベントは、[管理]→[システム設定]→[システムイベント] タブで確認および設定できます。個々のイベントを記録するかどうか、またSIEMシステムに転送するかどうかを設定できます。システムイベントに関連する操作の詳細については、システムイベントを参照してください。

セキュリティイベント

各保護モジュールでは、ルールがトリガされるか、その他の設定の条件が満たされると、イベントが生成されます。セキュリティイベント生成に関する一部の設定は変更が可能です。

コンピュータで有効になっているファイアウォールステートフル設定を変更して、TCP、UDP、およびICMPのイベントログを有効または無効にできます。ステートフルファイアウォール設定のプロパティを編集するには、[ポリシー]→[共通オブジェクト]→[その他]→[ファイアウォールステートフル設定] に移動します。ログのオプションは、ファイアウォールステートフル設定の [プロパティ] 画面の [TCP]、[UDP]、[ICMP] の各タブにあります。ファイアウォールイベントの詳細については、ファイアウォールイベントを参照してください。

侵入防御モジュールでは、個々のルールのイベントログを無効にできます。ルールのイベントログを無効にするには、ルールの [プロパティ] 画面を開き、[一般] タブの [イベント] 領域にある [イベントログの無効化] を選択します。

侵入防御モジュールでは、ルールがトリガする原因となったデータを記録できます。個々のルールがトリガするたびにすべてのデータを記録するのは現実的ではないので、Deep Securityでは、一定時間内 (初期設定では5分) でルールが最初にトリガしたときのデータのみを記録します。このデータを記録するかどうかを設定するには、コンピュータまたはポリシーエディタ これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で [侵入防御]→[詳細]→[イベントデータ] に移動します。時間を設定するには、コンピュータまたはポリシーエディタ これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [設定]→[詳細]→[ネットワークエンジンの詳細設定] で [1つのパケットデータのみをログに記録する期間] 設定を調整します。侵入防御イベントの詳細については、侵入防御イベントを参照してください。

セキュリティログ監視モジュールは、指定の重要度を超える条件が含まれるセキュリティログ監視ルールがトリガされた場合にのみイベントを記録するように設定できます。セキュリティログ監視イベントが記録される重要度を設定するには、コンピュータまたはポリシーエディタ これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [セキュリティログ監視]→[詳細]→[重要度のクリッピング] に移動します。セキュリティログ監視イベントの詳細については、セキュリティログ監視イベントを参照してください。

アプリケーションコントロール は、イベントをシステムイベントとして、および アプリケーションコントロール セキュリティイベントとしてログに記録します。詳細については、アプリケーションコントロールイベントの監視.

ログのパフォーマンス

イベント収集のパフォーマンスを最大限にするためのヒントを以下に示します。

• 重要でないコンピュータのログ収集を減らすか、無効にします。
• ファイアウォールステートフル設定の [プロパティ] 画面でログオプションの一部を無効にして、ファイアウォールルール処理のログを削減することを検討します。たとえば、UDPログを無効にすると、「許可されていないUDP応答」のログエントリは除外されます。
• 侵入防御ルールの場合、破棄されたパケットのみをログに記録することをお勧めします。パケットの変更をログに記録すると、多くのログエントリが作成される可能性があります。
• 侵入防御ルールの場合、攻撃元の調査が必要なときのみパケットデータを含めます (侵入防御ルールの [プロパティ] 画面のオプション)。それ以外のときにパケットデータの追加をオンのままにしておくと、ログサイズが非常に大きくなってしまいます。