Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。
本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
Deep Securityのイベント
Deep Security Agentでは、保護モジュールのルールまたは条件がトリガされると「セキュリティイベント」が記録されます。また、AgentとDeep Security Managerでは、管理またはシステム関連のイベント (管理者のログインやAgentソフトウェアのアップグレードなど) が発生すると、「システムイベント」が記録されます。イベントのデータを使用して、Deep Security Managerの各種レポートやグラフが作成されます。
イベントを表示するには、Deep Security Managerの [イベントとレポート] タブに移動します。
Agentでのイベントログの場所
イベントログの場所はOSによって異なります。Windowsの場合は、次の場所に保存されます。
C:\Program Data\Trend Micro\Deep Security Agent\Diag
Linuxの場合は、次の場所に保存されます。
/var/opt/ds_agent/diag
イベントがManagerに送信されるタイミング
コンピュータで発生するほとんどのイベントは、次回のハートビート処理時にDeep Security Managerに送信されます。ただし、例外として、通信の設定で、Relay/Agent/Applianceから通信を開始できるようになっている場合、次のイベントはすぐに送信されます。
- スマートスキャンサーバがオフライン
- スマートスキャンサーバがオンライン復帰
- 変更監視検索が完了
- 変更監視のベースライン作成
- 変更監視ルール内に認識できないエレメント
- 変更監視ルールのエレメントがローカルプラットフォームでサポートされていない
- 異常な再起動の検出
- ディスク容量不足の警告
- セキュリティログ監視がオフライン
- セキュリティログ監視がオンライン復帰
- 攻撃の予兆検索の検出 (コンピュータまたはポリシーエディタYou can change these settings for a policy or for a specific computer. To change the settings for a policy, go to the Polices page and double-click the policy that you want to edit (or select the policy and click Details). To change the settings for a computer, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).の [ファイアウォール]→[攻撃の予兆] で、設定が有効になっている場合)
イベントが保持される期間
イベントは、Deep Security Managerによって収集された後、[管理]→[システム設定]→[ストレージ] 画面で指定された一定の期間保持されます。詳細については、ログとイベントの保存に関するベストプラクティスを参照してください。
システムイベント
Deep Securityのシステムイベントは、[管理]→[システム設定]→[システムイベント] タブで確認および設定できます。個々のイベントを記録するかどうか、またSIEMシステムに転送するかどうかを設定できます。システムイベントの詳細については、システムイベントを参照してください。
セキュリティイベント
各保護モジュールでは、ルールがトリガされるか、その他の設定の条件が満たされると、イベントが生成されます。セキュリティイベント生成に関する一部の設定は変更が可能です。特定の種類のセキュリティイベントに関する詳細については、次のトピックを参照してください。
- 不正プログラム対策イベント
- 検出した不正プログラムの確認と復元
- アプリケーションコントロールイベント
- ファイアウォールイベント
- 変更監視イベント
- 侵入防御イベント
- セキュリティログ監視イベント
- Webレピュテーションイベント
コンピュータで有効になっているファイアウォールステートフル設定を変更して、TCP、UDP、およびICMPのイベントログを有効または無効にできます。ステートフルファイアウォール設定のプロパティを編集するには、[ポリシー]→[共通オブジェクト]→[その他]→[ファイアウォールステートフル設定] に移動します。ログのオプションは、ファイアウォールステートフル設定の [プロパティ] 画面の [TCP]、[UDP]、[ICMP] の各タブにあります。ファイアウォールイベントの詳細については、ファイアウォールイベントを参照してください。
ポリシーまたはコンピュータに関連付けられたイベントを確認する
ポリシーエディタTo open the Policy editor, go to the Policies page and double-click the policy that you want to edit (or select the policy and click Details).とコンピュータエディタTo open the Computer editor, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).は、どちらも保護モジュールに [イベント] タブがあります。ポリシーエディタには、現在のポリシーに関連付けられたイベントが表示されます。コンピュータエディタには、現在のコンピュータに固有のイベントが表示されます。
イベントの詳細を表示する
イベントの詳細を確認するには、ダブルクリックします。
[一般] タブには次の項目が表示されます。
- 時刻: Deep Security Managerをホストするコンピュータ上のシステム時計に準じた時刻。
- レベル: 発生したイベントの重要度。イベントレベルには、情報、警告、エラーが含まれます。
- イベントID: イベントの種類に一意の識別子。
- イベント: イベントIDに関連付けられたイベントの名前。
- 対象: イベントに関連付けられたシステムオブジェクトは、ここで識別されます。オブジェクトのIDをクリックすると、オブジェクトのプロパティシートが表示されます。
- イベント送信元: イベントの送信元であるDeep Securityコンポーネント。
- 処理実行者: イベントをユーザが実行した場合は、そのユーザのユーザ名がここに表示されます。ユーザ名をクリックすると、[ユーザプロパティ] 画面が表示されます。
- Manager: Deep Security Managerのコンピュータのホスト名。
- 説明: 必要に応じて、どのような処理が実行されてこのイベントがトリガされたのか、処理の詳細がここに表示されます。
[タグ] タブには、このイベントに関連付けられているタグが表示されます。イベントのタグ付けの詳細については、[ポリシー]→[共通オブジェクト]→[その他]→[タグ]、およびイベントを識別およびグループ化するためのタグの適用を参照してください。
リストをフィルタしてイベントを検索する
[期間] ツールバーでリストをフィルタし、特定の期間内に発生したイベントだけを表示できます。
[コンピュータ] ツールバーで、コンピュータグループ別またはコンピュータポリシー別にイベントログエントリを表示できます。
[検索]→[詳細検索を開く] をクリックすると、詳細検索バーの表示を切り替えることができます。
検索バーの右側にある「検索バーの追加」ボタン (+) をクリックすると、追加の検索バーが表示され、検索に複数のパラメータを適用できます。準備が整ったら、送信ボタン (ツールバーの右側にある上部に右矢印の付いたボタン) をクリックします。
イベントをエクスポートする
表示されたイベントはCSVファイルにエクスポートできます(ページの指定はできません。すべてのページがエクスポートされます)。表示されたリストをエクスポートするか、または選択したアイテムをエクスポートするかを選択できます。
ログのパフォーマンスを向上する
イベント収集のパフォーマンスを最大限にするためのヒントを以下に示します。
- 重要でないコンピュータのログ収集を減らすか、無効にします。
- ファイアウォールステートフル設定の [プロパティ] 画面でログオプションの一部を無効にして、ファイアウォールルール処理のログを削減することを検討します。たとえば、UDPログを無効にすると、「許可されていないUDP応答」のログエントリは除外されます。