セキュリティログ監視の設定

[セキュリティログ監視] モジュールは、コンピュータのログファイルに格納されているセキュリティイベントを特定します。不審なイベントは、SIEMシステムまたは中央ログサーバに転送して、関連付け、レポート、およびアーカイブに使用できます。 https://www.ossec.net/で提供されるオープンソースソフトウェアを実装することで機能します。

コンピュータエディタとポリシーエディタClosed これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [セキュリティログ監視] セクションには、タブで区切られた次のセクションがあります。

一般

セキュリティログ監視

セキュリティログ監視のオン/オフ状態を親ポリシーから継承したり、設定をローカルでロックするように、このポリシーまたはコンピュータを設定できます。

割り当てられたセキュリティログ監視ルール

このポリシーまたはコンピュータで有効になっているセキュリティログ監視ルールを表示します。セキュリティログ監視ルールを追加または削除するには、[割り当て/割り当て解除] をクリックします。これにより、使用可能なすべてのセキュリティログ監視ルールを示す画面が表示されます。ここでルールを選択したり、選択を解除したりできます。

コンピュータエディタまたはポリシーエディタClosed これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。画面では、セキュリティログ監視ルールを編集して、編集中のルールにのみローカルに適用することも、そのルールを使用しているすべての他のポリシーおよびコンピュータに変更内容をグローバルに適用することもできます。

ルールをローカルに編集するには、ルールを選択して [プロパティ] () をクリックするか、ルールを右クリックして [プロパティ] をクリックします。

ルールをグローバルに編集するには、ルールを右クリックして [プロパティ (グローバル)] をクリックします。

推奨設定

推奨設定の検索が前回実行された日時、およびセキュリティログ監視の推奨ルールの数を表示します。

詳細

重要度のクリッピング

Agent/Applianceイベントが次の重要度以上の場合に、イベントをSyslogに送信: セキュリティログ監視ルールには重要度が設定されます。この設定では、Syslogが有効な場合に、それらのルールによってトリガされるどのイベントがSyslogサーバに送信されるかを決定します (Syslogを有効にするには、[管理]→[システム設定]→[イベントの転送] に進みます)。

Agent/Applianceイベントが次の重要度以上の場合に、イベントを記録してDSMに送信: この設定では、どのセキュリティログ監視イベントがデータベースに保持され、[セキュリティログ監視イベント] 画面に表示されるかを決定します。

イベント

セキュリティログ監視イベントは、Deep Security Managerのメイン画面と同じように表示されますが、表示される内容はこのポリシーまたは特定のコンピュータに関するイベントのみです。