本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
セキュリティログ監視ルールの確認
Deep Securityのセキュリティログ監視機能を使用すると、サードパーティのログファイルのリアルタイム分析ができます。セキュリティログ監視ルールとデコーダは、多種多様なシステムに対して、イベントの解析、分析、ランク付けおよび関連付けを実行するためのフレームワークを提供します。侵入防御および変更監視と同様、セキュリティログ監視の内容は、セキュリティアップデートに含まれているルールのフォームで配信されます。これらのルールによって、分析するアプリケーションとログの選択を高いレベルで選択することができます。
セキュリティログ監視ルールは、Deep Security Managerの [ポリシー]→[共通オブジェクト]→[ルール]→[セキュリティログ監視ルール] にあります。
セキュリティログ監視ルールの構造とイベント照合プロセス
次のスクリーンショットは、「Mail Server - Microsoft Exchange」というセキュリティログ監視ルールのプロパティ画面にある [設定] タブの内容を示します。
次に、ルールの構造を示します。
- 3800 - Grouping of Exchange Rules - Default - ignore
- 3801 - Email rcpt is not valid (invalid account) - Default - Medium (5)
- 3851 - Multiple email attempts to an invalid account - Default - High (10)
- Frequency (1 to 128) - 10
- Time Frame (1 to 86400) - 120
- Time to ignore this rule after triggering it once - to avoid excessive logs (1 to 86400) - 120
- 3851 - Multiple email attempts to an invalid account - Default - High (10)
- 3802 - Email 500 error code - Default - Medium (4)
- 3852 - Email 500 error code (spam) - Default - High (9)
- Frequency (1 to 128) - 12
- Time Frame (1 to 86400) - 120
- Time to ignore this rule after triggering it once - to avoid excessive logs (1 to 86400) - 240
- 3852 - Email 500 error code (spam) - Default - High (9)
- 3801 - Email rcpt is not valid (invalid account) - Default - Medium (5)
セキュリティログ監視エンジンは、この構造にログイベントを適用し、一致が存在するかどうかを確認します。Exchangeイベントが存在し、そのイベントが無効なアカウントに対するメールの受信であるとします。イベントは3800の行と一致します(3800の行がExchangeイベントであるため)。また、同じイベントが、3800の行のサブルールである3801の行と3802の行にも適用されます。
これ以上の一致がない場合、この一致の「連鎖」は3800の行で停止します。3800の行の重要度は「無視」であるため、セキュリティログ監視イベントは記録されません。
ただし、無効なアカウントに対するメールの受信は、3800の行のサブルールの1つ、サブルール3801に一致しています。サブルール3801の重要度は「Medium (4)」です。一致がここで停止する場合、重要度が「Medium (4)」のセキュリティログ監視イベントが記録されます。
しかし、このイベントに該当するルールは他にもあります。サブルール3851です。同じイベントが過去120秒以内に10回発生した場合、サブルール3851とその3つの属性が一致するでしょう。その場合、重要度が「High (9)」であるセキュリティログ監視イベントが記録されます(「無視」属性は、サブルール3851に、サブルール3801と一致する個々のイベントを今後120秒間無視するように指示しています。これは、「ノイズ」の低減に役立ちます)。
サブルール3851のパラメータが一致したとみなされると、重要度が「High (9)」であるセキュリティログ監視イベントが記録されます。
Mail Server - Microsoft Exchangeルールの [オプション] タブを調べてみると、重要度が「中 (4)」のサブルールが一致していれば、Deep Security Managerによってアラートが発令されることがわかります。この例はこれに該当するため、アラートが発令されます ([このルールによってイベントが記録された場合にアラート] が選択されている場合)。
重複しているサブルール
一部のセキュリティログ監視ルールでは、サブルールが重複している場合があります。例を見るには、[Microsoft Windows Events] ルールを開き、[設定] タブをクリックします。サブルール18125 (Remote access login failure) が、サブルール18102と18103の下に表示されています。また、どちらの場合も、サブルール18125には重要度の値が示されておらず、単に [See Below] と表示されています。
重複して表示されるのではなく、ルール18125は、[設定] 画面の下部に1回だけ表示されています。
