外部のSyslogサーバまたはSIEMサーバへのDeep Securityイベントの転送

このトピックの内容は、Deep Security Manager VM for Azure Marketplaceには該当しません。Deep Security Manager VM for Azure Marketplaceを使用している場合は、外部のSyslogサーバまたはSIEMサーバへのイベントの転送を参照してください。

Amazon SNSにイベントを公開する場合は、Amazon SNSでのイベントへのアクセスを参照してください。

Deep Securityでは、2種類のイベントが記録されます。

• システムイベント: 管理者のログインやAgentソフトウェアのアップグレードなど、管理またはシステム関連のイベント。これらのイベントは、Deep Security Managerで生成されます。
• セキュリティイベント: 保護モジュールのルールまたは条件がトリガされると記録されるイベント。これらのイベントは、Deep Security Agentで生成されます。

どちらのイベントについても、外部のSyslogサーバまたはセキュリティ情報/イベント管理 (SIEM) サーバに転送するようにDeep Securityを設定できます。ログメッセージの内容と形式は、メッセージの送信元がDeep Security ManagerかAgentコンピュータかによって多少異なります。形式の詳細については、syslogメッセージの形式を参照してください。

転送可能なイベントは2種類あり、それぞれ別々に設定する必要があります。

• システムイベントをSyslogまたはSIEMサーバに転送する
• セキュリティイベントをSyslogまたはSIEMサーバに転送する

Deep Securityでは、SyslogサーバまたはSIEMサーバへのイベント転送を有効にした後も、すべてのシステムイベントとセキュリティイベントが記録され、Deep Security Managerのレポートとグラフに表示されます。

SyslogまたはSIEMサーバとしてSplunkを使用している場合は、Splunk向けDeep Securityアプリの使用を検討してください。このアプリでは、ダッシュボードや保存された検索を利用できます。

システムイベントをSyslogまたはSIEMサーバに転送する

1. [管理]→[システム設定]→[イベントの転送] に進みます。
2. [設定を使用してリモートコンピュータにシステムイベントを転送する (Syslog経由)] リストで、既存のSyslog設定を選択するか、[新規] を選択して新しい設定を定義します (詳細については、Syslog設定を定義するを参照してください)。
3. [保存] をクリックします。

セキュリティイベントをSyslogまたはSIEMサーバに転送する

セキュリティイベントは、Agentによって保護モジュールごとに生成されます。このイベントは、2つの方法で転送できます。1つはAgentコンピュータからリアルタイムに直接転送する方法、もう1つはハートビートで収集したイベントをDeep Security Managerから転送する方法です。TLSを使用してセキュアなSyslogメッセージを送信する場合は、Deep Security Manager経由で送信する必要があります。Agentから直接送信するSyslogメッセージは、UDPを使用してクリアテキストで転送されます。

• AgentコンピュータからSyslogまたはSIEMサーバに直接セキュリティイベントを転送する
• AgentコンピュータからDeep Security Manager経由でセキュリティイベントを転送する

設定は上位の親ポリシーから環境全体に継承することが推奨されますが、Deep Securityの他の設定と同様、イベント転送の設定も特定のポリシーまたはコンピュータに対してオーバーライドすることができます (ポリシー、継承、およびオーバーライドを参照してください)。

AgentコンピュータからSyslogまたはSIEMサーバに直接セキュリティイベントを転送する

1. [ポリシー] に移動します。
2. コンピュータからSyslogサーバにイベントを直接転送するために使用するポリシーをダブルクリックします。
   
3. [設定]→[SIEM] に移動します。
4. [イベント転送の頻度 (Agent/Applianceから)] で、AgentまたはApplianceからSyslogまたはSIEMサーバにイベントを送信する頻度を指定します。
5. [イベント転送設定 (Agent/Applianceから)] で、それぞれの保護モジュールに使用するSyslog設定を指定します。オプションは次のとおりです。
   • 継承 (設定名): 親ポリシーまたはコンピュータの動作を継承します。
   • なし: イベントを転送しません。
   • Syslog設定名: 指定したSyslog設定に従ってイベントを転送します。設定の詳細を確認または編集するには、[編集] をクリックします。[トランスポート] が「UDP」、[Agentによるログ転送方法] が「Syslogサーバに直接」に設定されている必要があります。
   • 新規: 新しい設定を定義できます (詳細については、Syslog設定を定義するを参照してください)。[トランスポート] が「UDP」、[Agentによるログ転送方法] が「Syslogサーバに直接」に設定されている必要があります。
6. [保存] をクリックします。

AgentコンピュータからDeep Security Manager経由でセキュリティイベントを転送する

イベントをDeep Security Manager経由で転送する場合は、イベントがハートビート ([設定]→[一般]→[ハートビート間隔 (分)]) ごとに収集されます。

1. [ポリシー] に移動します。
2. コンピュータからDeep Security Manager経由でセキュリティイベントを転送するために使用するポリシーをダブルクリックします。
   
3. [設定]→[SIEM] に移動します。
4. [イベント転送設定 (Agent/Applianceから)] で、それぞれの保護モジュールに使用するSyslog設定を指定します。オプションは次のとおりです。
   • 継承 (設定名): 親ポリシーまたはコンピュータの動作を継承します。
   • なし: イベントを転送しません。
   • Syslog設定名: 指定したSyslog設定に従ってイベントを転送します。設定の詳細を確認または編集するには、[編集] をクリックします。[Agentによるログ転送方法] が「Deep Security Manager経由」に設定されている必要があります。
   • 新規: 新しい設定を定義できます (詳細については、Syslog設定を定義するを参照してください)。[Agentによるログ転送方法] が「Deep Security Manager経由」に設定されている必要があります。
5. [保存] をクリックします。

Syslog設定を定義する

Syslog設定を定義して、システムイベントかセキュリティイベント、または両方に割り当てることができます。Syslog設定は、必要に応じていくつでも定義できます。

既存のSyslog設定を確認するには、[ポリシー]→[共通オブジェクト]→[その他]→[Syslog設定] の順に選択します。表示された画面で、設定の追加と編集が可能です。設定をインポートしたりエクスポートしたりすることもできます。

2017年1月26日より前に設定したSyslogまたはSIEMサーバ設定は、Syslog設定に変換されて [Syslog設定] 画面に表示されます。同一の設定があった場合、すべて1つにマージされます。

新しい設定を追加するには、次の手順に従います。

1. [新規]→[新規設定] の順にクリックします。
2. [一般] タブで、次の項目を設定します。
   • 名前: 設定を識別するわかりやすい名前。名前は一意である必要があります。
   • 説明: 設定の説明 (オプション)。
   • ログ送信元ID: SyslogまたはSIEMサーバに送信されるSyslogメッセージには、メッセージの送信元を識別できるように、レポートされたホスト名が含まれます。[ログ送信元ID] 設定を指定しない場合、複数ノード構成でDeep Security Managerを実行している環境では、IDとして各ノードから異なるホスト名が送信されます。各Managerノードで同じIDを使用する (すべてのSyslogメッセージを同じ送信元から送信されたものとして扱う) 場合は、共通のログ送信元IDを指定できます。Deep Security AgentからSyslogサーバまたはSIEMサーバに直接送信されるSyslogメッセージでは、レポートされたコンピュータホスト名が使用され、ログ送信元IDを使用することはできません。
   • サーバ名: イベントの送信先のホスト名またはIPアドレス。イベント転送が機能するためには、SyslogまたはSIEMサーバとルータ、ファイアウォール、およびセキュリティグループで、Deep Security Managerからの受信トラフィックを許可する必要があります。
     イベントをDeep Security Agentから直接転送する場合は、Agentからのトラフィックも許可する必要があります。
   • サーバのポート: イベントの送信先のUDPポートまたはTLSポート。通常、UDPにはポート514、TLSにはポート6514を使用します。詳細については、ポート番号、URL、およびIPアドレスを参照してください。
   • イベント形式: ログメッセージの形式。形式の詳細については、syslogメッセージの形式を参照してください。
     LEEF形式は、Deep Security Managerから送信されるメッセージでのみサポートされます。Basic Syslog形式は、不正プログラム対策、Webレピュテーション、変更監視、アプリケーションコントロール保護モジュールではサポートされていません。
   • トランスポート: UDPまたはTLS。Agentから直接送信するセキュリティイベントは、UDPで送信する必要があります。Manager経由で送信するシステムイベントおよびセキュリティイベントは、UDPとTLSのどちらでも送信できます。UDPを選択した場合、イベントはクリアテキストで送信されます。TLSを選択した場合は、セキュアな方法でイベントが送信されます。
   • ファシリティ: メッセージをログに記録しているプログラムまたはプロセスの種類。
   • Agentによるログ転送方法: この設定は、セキュリティイベントの転送時に適用されます。Syslogメッセージの送信方法として、[Syslogサーバに直接] または [Deep Security Manager経由] のどちらかを選択できます。
   LEEFまたはTLSを選択した場合、このオプションは [Deep Security Manager経由] に設定されており、変更することはできません。
3. トランスポートメカニズムとしてTLSを使用する場合は、TLSクライアント認証の設定が必要になることがあります。[資格情報] タブに移動し、[秘密鍵]、[証明書]、および [証明書チェーン] (必要な場合) をPEM形式で入力して、[接続テスト] をクリックします。Deep Security ManagerからSyslogサーバまたはSIEMサーバに3種類のテストメッセージが送信されます。

トラブルシューティング

「Syslogメッセージの送信に失敗」アラート

Syslog設定に問題がある場合、次のアラートが表示されることがあります。

Syslogメッセージの送信に失敗
Syslogサーバにメッセージを転送できませんでした。
Syslogサーバにメッセージを転送できません

このアラートには、該当するSyslog設定へのリンクも記載されています。リンクをクリックして設定を開き、[接続テスト] ボタンをクリックすると、詳しいトラブルシューティング情報を確認できます。接続に成功したことを示すメッセージか、問題の原因に関する詳細情報を示すエラーメッセージが表示されます。

Syslog設定を編集できない

Syslog設定を表示できても編集することができない場合は、アカウントに関連付けられた役割に適切な権限が割り当てられていないことが考えられます。権限を確認できるのは、役割の設定を許可された管理者のみです。[管理]→[ユーザ管理] に移動し、ユーザ名を選択して [プロパティ] をクリックします。Syslog設定を編集できるかどうかは、[その他の権限] タブの [Syslog設定] の設定で制御されます。ユーザと役割の詳細については、ユーザの作成と管理を参照してください。

Deep Security ManagerのSyslog設定セクションが表示されません。

この設定は、Deep Security as a Serviceには適用されません。

syslog設定のUIが次の場所に表示されない場合：Deep Securityマルチテナント環境のテナントである可能性があります。プライマリテナントがこの機能を無効にしているか、または設定されています。

証明書が期限切れのためにSyslogが転送されない

TLSクライアント認証を設定している場合、証明書の期限が切れると、SyslogメッセージがSyslogサーバに送信されなくなります。この問題を解決するには、新しい証明書を取得して、その新しい証明書の値でSyslog設定をアップデートし、接続をテストして設定を保存します。

サーバ証明書が期限切れであるか変更されたためにSyslogが配信されない

Syslogサーバの証明書が期限切れになった場合や変更された場合は、Syslog設定を開き、[接続テスト] ボタンをクリックします。新しい証明書を受け入れるように求められます。

テスト済みのSyslogサーバまたはSIEMサーバ

Deep Securityは、次の製品のEnterpriseバージョンでテストされています。

• Splunk 6.5.1
• IBM QRadar 7.2.8 Patch 3 (TLSプロトコルパッチのPROTOCOL-TLSSyslog-7.2-20170104125004.noarchを適用)
• HP ArcSight 7.2.2 (ArcSight-7.2.2.7742.0-Connectorツールを使用して作成されたTLS Syslog-NGコネクタを使用)