本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
外部のSyslogサーバまたはSIEMサーバへのイベントの転送
Deep Security Manager VM for Azure Marketplaceにのみ該当します。
複数のバージョンのDeep Securityを使用している場合は、外部のSyslogサーバまたはSIEMサーバへのDeep Securityイベントの転送を参照してください。
Deep Securityでは、2種類のイベントが記録されます。
- システムイベント: 管理者のログインやAgentソフトウェアのアップグレードなど、管理またはシステム関連のイベント。これらのイベントは、Deep Security Managerで生成されます。
- セキュリティイベント: 保護モジュールのルールまたは条件がトリガされると記録されるイベント。これらのイベントは、Deep Security Agentで生成されます。
どちらのイベントについても、外部のSyslogサーバまたはセキュリティ情報/イベント管理 (SIEM) サーバに転送するようにDeep Securityを設定できます。イベントはすべてクリアテキストで転送されます。また、ログメッセージの内容と形式は、メッセージの送信元がDeep Security ManagerかAgentコンピュータかによって多少異なります。形式の詳細については、syslogメッセージの形式を参照してください。
転送可能なイベントは2種類あり、それぞれ別々に設定する必要があります。
Deep Securityでは、SyslogサーバまたはSIEMサーバへのイベント転送を有効にした後も、すべてのシステムイベントとセキュリティイベントが記録され、Deep Security Managerのレポートとグラフに表示されます。
SyslogサーバまたはSIEMサーバとしてSplunkを使用している場合は、Splunk向けDeep Securityアプリの使用を検討してください。このアプリでは、ダッシュボードや保存された検索を利用できます。
システムイベントをSyslogサーバまたはSIEMサーバに転送する
システムイベントは、Deep Security Managerで生成され、[イベントとレポート] 画面に表示されるイベントです。このイベントはAgentに送信されません。このイベントをSyslogサーバまたはSIEMサーバに転送するようにDeep Security Managerを設定できます。
- [管理]→[システム設定]→[イベントの転送] に進みます。
- [SIEM] セクションで [リモートコンピュータにシステムイベントを転送する (Syslog経由)] を選択します。
-
以下の情報を指定し、[保存] をクリックします。
設定 備考 イベントの送信先のホスト名またはIPアドレス イベント転送が機能するためには、SyslogサーバまたはSIEMサーバとルータ、ファイアウォール、およびセキュリティグループで、Deep Security Managerからの受信接続を許可する必要があります。
イベントの送信先UDPポート 通常はポート514です。
詳細については、ポート番号、URL、およびIPアドレスを参照してください。
Syslogファシリティ メッセージをログに記録しているプログラムまたはプロセスの種類。 Syslog形式 ログメッセージの形式。形式の詳細については、syslogメッセージの形式を参照してください。
Basic Syslog形式は、不正プログラム対策、Webレピュテーション、変更監視、アプリケーションコントロール保護モジュールではサポートされていません。
セキュリティイベントをSyslogサーバまたはSIEMサーバに転送する
セキュリティイベントは、Agentによってモジュールごとに生成されるイベントです。このイベントは、2つの方法で転送できます。1つはAgentコンピュータからリアルタイムに直接転送する方法、もう1つはハートビートで収集されたイベントをDeep Security Managerから転送する方法です。
- AgentコンピュータからSyslogサーバまたはSIEMサーバにリアルタイムで直接セキュリティイベントを転送する
- AgentコンピュータからDeep Security Manager経由でセキュリティイベントを転送する
設定は上位の親ポリシーから環境全体に継承することが推奨されますが、Deep Securityの他の設定と同様、イベント転送の設定も特定のポリシーまたはコンピュータに対してオーバーライドすることができます。あるコンピュータで継承された設定をオーバーライドするには、設定するコンピュータを見つけ、[コンピュータ] を開き、[設定] に進んで [SIEM] タブをクリックします。継承された設定を無視するよう設定するには、[イベントの転送先] を選択して別のSyslogサーバまたはSIEMサーバの詳細を入力するか、または [イベントを転送しない] を選択してログを一切転送しないようにします。ポリシーの設定をオーバーライドする場合も、同じ手順に従います。
AgentコンピュータからSyslogサーバまたはSIEMサーバにリアルタイムで直接セキュリティイベントを転送する
- [ポリシー] に移動します。
- コンピュータからSyslogサーバにイベントを直接転送するために使用するポリシーをダブルクリックします。
- [設定]→[SIEM] の順に選択し、該当する保護モジュールごとに [イベントの転送先]→[直接転送する] を選択します。
- Agentコンピュータから直接イベントを転送するために必要な以下の情報を指定し、[保存] をクリックします。
設定 | 備考 |
---|---|
イベントの送信先のホスト名またはIPアドレス |
イベント転送が機能するためには、SyslogサーバまたはSIEMサーバとルータ、ファイアウォール、およびセキュリティグループで、AgentのIPアドレスからの受信接続を許可する必要があります。 社内のSIEMにメッセージを転送する場合は、そのSIEMを指定します。 |
イベントの送信先UDPポート |
通常はポート514です。 詳細については、ポート番号、URL、およびIPアドレスを参照してください。 |
Syslogファシリティ | メッセージをログに記録しているプログラムまたはプロセスの種類。 |
Syslog形式 |
ログメッセージの形式。形式の詳細については、syslogメッセージの形式を参照してください。 LEEF形式は、Deep Security Managerから送信されるメッセージでのみサポートされます。 Basic Syslog形式は、不正プログラム対策、Webレピュテーション、変更監視、アプリケーションコントロール保護モジュールではサポートされていません。 |
AgentコンピュータからDeep Security Manager経由でセキュリティイベントを転送する
- [ポリシー] に移動します。
- コンピュータからDeep Security Manager経由でセキュリティイベントを転送するために使用するポリシーをダブルクリックします。
- [設定]→[SIEM] の順に選択し、該当する保護モジュールごとに [イベントの転送先]→[Manager経由でリレーする] を選択します。
- Deep Security Manager経由でイベントをリレーするために必要な以下の情報を指定し、[保存] をクリックします。
設定 | 備考 |
---|---|
イベントの送信先のホスト名またはIPアドレス |
イベント転送が機能するためには、SyslogサーバまたはSIEMサーバとルータ、ファイアウォール、およびセキュリティグループで、Deep Security Managerからの受信接続を許可する必要があります。 |
イベントの送信先UDPポート |
通常はポート514です。 詳細については、ポート番号、URL、およびIPアドレスを参照してください。 |
Syslogファシリティ | メッセージをログに記録しているプログラムまたはプロセスの種類。 |
Syslog形式 |
ログメッセージの形式。形式の詳細については、syslogメッセージの形式を参照してください。 LEEF形式は、Deep Security Managerから送信されるメッセージでのみサポートされます。 Basic Syslog形式は、不正プログラム対策、Webレピュテーション、変更監視、アプリケーションコントロール保護モジュールではサポートされていません。 |
Deep Security Managerはハートビート時にAgentからセキュリティイベントを収集し、SyslogサーバまたはSIEMサーバに送信します。このサーバは、[管理]→[システム設定]→[イベントの転送] で設定します。