外部のSyslogサーバまたはSIEMサーバへのイベントの転送

Deep Security Manager VM for Azure Marketplaceにのみ該当します。

複数のバージョンのDeep Securityを使用している場合は、外部のSyslogサーバまたはSIEMサーバへのDeep Securityイベントの転送を参照してください。

Deep Securityでは、2種類のイベントが記録されます。

  • システムイベント: 管理者のログインやAgentソフトウェアのアップグレードなど、管理またはシステム関連のイベント。これらのイベントは、Deep Security Managerで生成されます。
  • セキュリティイベント: 保護モジュールのルールまたは条件がトリガされると記録されるイベント。これらのイベントは、Deep Security Agentで生成されます。

どちらのイベントについても、外部のSyslogサーバまたはセキュリティ情報/イベント管理 (SIEM) サーバに転送するようにDeep Securityを設定できます。イベントはすべてクリアテキストで転送されます。また、ログメッセージの内容と形式は、メッセージの送信元がDeep Security ManagerかAgentコンピュータかによって多少異なります。形式の詳細については、syslogメッセージの形式を参照してください。

転送可能なイベントは2種類あり、それぞれ別々に設定する必要があります。

Deep Securityでは、SyslogサーバまたはSIEMサーバへのイベント転送を有効にした後も、すべてのシステムイベントとセキュリティイベントが記録され、Deep Security Managerのレポートとグラフに表示されます。

SyslogサーバまたはSIEMサーバとしてSplunkを使用している場合は、Splunk向けDeep Securityアプリの使用を検討してください。このアプリでは、ダッシュボードや保存された検索を利用できます。

システムイベントをSyslogサーバまたはSIEMサーバに転送する

システムイベントは、Deep Security Managerで生成され、[イベントとレポート] 画面に表示されるイベントです。このイベントはAgentに送信されません。このイベントをSyslogサーバまたはSIEMサーバに転送するようにDeep Security Managerを設定できます。

  1. [管理]→[システム設定]→[イベントの転送] に進みます。
  2. [SIEM] セクションで [リモートコンピュータにシステムイベントを転送する (Syslog経由)] を選択します。
  3. 以下の情報を指定し、[保存] をクリックします。

    設定 備考
    イベントの送信先のホスト名またはIPアドレス

    イベント転送が機能するためには、SyslogサーバまたはSIEMサーバとルータ、ファイアウォール、およびセキュリティグループで、Deep Security Managerからの受信接続を許可する必要があります。

    イベントの送信先UDPポート

    通常はポート514です。

    詳細については、ポート番号、URL、およびIPアドレスを参照してください。

    Syslogファシリティ メッセージをログに記録しているプログラムまたはプロセスの種類。
    Syslog形式

    ログメッセージの形式。形式の詳細については、syslogメッセージの形式を参照してください。

    Basic Syslog形式は、不正プログラム対策、Webレピュテーション、変更監視、アプリケーションコントロール保護モジュールではサポートされていません。

セキュリティイベントをSyslogサーバまたはSIEMサーバに転送する

セキュリティイベントは、Agentによってモジュールごとに生成されるイベントです。このイベントは、2つの方法で転送できます。1つはAgentコンピュータからリアルタイムに直接転送する方法、もう1つはハートビートで収集されたイベントをDeep Security Managerから転送する方法です。

設定は上位の親ポリシーから環境全体に継承することが推奨されますが、Deep Securityの他の設定と同様、イベント転送の設定も特定のポリシーまたはコンピュータに対してオーバーライドすることができます。あるコンピュータで継承された設定をオーバーライドするには、設定するコンピュータを見つけ、[コンピュータ] を開き、[設定] に進んで [SIEM] タブをクリックします。継承された設定を無視するよう設定するには、[イベントの転送先] を選択して別のSyslogサーバまたはSIEMサーバの詳細を入力するか、または [イベントを転送しない] を選択してログを一切転送しないようにします。ポリシーの設定をオーバーライドする場合も、同じ手順に従います。

AgentコンピュータからSyslogサーバまたはSIEMサーバにリアルタイムで直接セキュリティイベントを転送する

  1. [ポリシー] に移動します。
  2. コンピュータからSyslogサーバにイベントを直接転送するために使用するポリシーをダブルクリックします。
  3. [設定]→[SIEM] の順に選択し、該当する保護モジュールごとに [イベントの転送先]→[直接転送する] を選択します。
  4. Agentコンピュータから直接イベントを転送するために必要な以下の情報を指定し、[保存] をクリックします。
  5. 設定 備考
    イベントの送信先のホスト名またはIPアドレス

    イベント転送が機能するためには、SyslogサーバまたはSIEMサーバとルータ、ファイアウォール、およびセキュリティグループで、AgentのIPアドレスからの受信接続を許可する必要があります。

    社内のSIEMにメッセージを転送する場合は、そのSIEMを指定します。

    イベントの送信先UDPポート

    通常はポート514です。

    詳細については、ポート番号、URL、およびIPアドレスを参照してください。

    Syslogファシリティ メッセージをログに記録しているプログラムまたはプロセスの種類。
    Syslog形式

    ログメッセージの形式。形式の詳細については、syslogメッセージの形式を参照してください。

    LEEF形式は、Deep Security Managerから送信されるメッセージでのみサポートされます。

    Basic Syslog形式は、不正プログラム対策、Webレピュテーション、変更監視、アプリケーションコントロール保護モジュールではサポートされていません。

AgentコンピュータからDeep Security Manager経由でセキュリティイベントを転送する

  1. [ポリシー] に移動します。
  2. コンピュータからDeep Security Manager経由でセキュリティイベントを転送するために使用するポリシーをダブルクリックします。
  3. [設定]→[SIEM] の順に選択し、該当する保護モジュールごとに [イベントの転送先]→[Manager経由でリレーする] を選択します。
  4. Deep Security Manager経由でイベントをリレーするために必要な以下の情報を指定し、[保存] をクリックします。
  5. 設定 備考
    イベントの送信先のホスト名またはIPアドレス

    イベント転送が機能するためには、SyslogサーバまたはSIEMサーバとルータ、ファイアウォール、およびセキュリティグループで、Deep Security Managerからの受信接続を許可する必要があります。

    イベントの送信先UDPポート

    通常はポート514です。

    詳細については、ポート番号、URL、およびIPアドレスを参照してください。

    Syslogファシリティ メッセージをログに記録しているプログラムまたはプロセスの種類。
    Syslog形式

    ログメッセージの形式。形式の詳細については、syslogメッセージの形式を参照してください。

    LEEF形式は、Deep Security Managerから送信されるメッセージでのみサポートされます。

    Basic Syslog形式は、不正プログラム対策、Webレピュテーション、変更監視、アプリケーションコントロール保護モジュールではサポートされていません。

    Deep Security Managerはハートビート時にAgentからセキュリティイベントを収集し、SyslogサーバまたはSIEMサーバに送信します。このサーバは、[管理]→[システム設定]→[イベントの転送] で設定します。