本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

Deep SecurityイベントをSyslogまたはSIEMサーバに転送する

イベントは、外部のSyslogサーバまたはSecurity Information and Event Management(SIEM)サーバに送信できます。これは、集中管理された監視、カスタムレポート、またはDeep Security Managerのローカルディスクの空き容量の確保に役立ちます。

外部サーバーへのイベント転送を有効にしても、Deep Security Manager はシステムおよびセキュリティイベントをローカルに記録し、レポートやグラフに表示します。したがって、ディスクスペースの使用量を減らす必要がある場合、イベント転送だけでは不十分です。ローカルにイベントを保持する期間も設定する必要があります。

または、イベントをAmazon SNSに公開する場合は、 Amazon SNSを設定するでのイベントのアクセスを参照してください。

基本的な手順には、以下が含まれます

  1. イベント転送ネットワークトラフィックを許可する
  2. クライアント証明書を要求する
  3. Syslog設定の定義
  4. システムイベントを転送する and/or セキュリティイベントを転送する

イベント転送ネットワークトラフィックを許可する

すべてのルータ、ファイアウォール、およびセキュリティグループでは、 Deep Security Managerからの受信トラフィック(およびセキュリティイベントの直接転送のために、エージェントからの受信トラフィック)をSyslogサーバに送信する必要があります。ポート番号、URL、およびIPアドレスも参照してください。

クライアント証明書を要求する

イベントを安全に転送したい場合(TLS経由)、およびSyslogサーバーがクライアント認証を要求する場合は、クライアント(サーバーではなく)証明書署名要求(CSR)を生成する必要があります。Deep Security Managerは、この証明書を使用して、Syslogサーバーにクライアントとして接続する際に自身を識別および認証します。クライアント証明書の要求方法については、証明書発行機関(CA)にお問い合わせください。

一部のSyslogサーバーは自己署名のサーバー証明書(Deep Security Managerのデフォルトなど)を受け入れません。CA署名のクライアント証明書が必要です。

Syslogサーバーが信頼するCA、または信頼されたルートCAによって直接または間接的に署名された中間CAを使用します(これは信頼チェーンまたは署名チェーンとも呼ばれます)。

CAから署名された証明書を受信すると、CA証明書をDeep Security Managerにアップロードするために、 Syslog設定の定義を続行します。

Syslog設定の定義

Syslog設定では、システムイベントまたはセキュリティイベントの転送時に使用できる宛先と設定を定義します。

2017年1月26日より前にSIEMまたはSyslogを設定した場合、Syslog設定に変換されています。同じ設定がマージされました。

  1. [ Policies]→[Common Objects]→[Other]→[Syslog Configurations]→[]の順に選択します。
  2. [新規]→[新規設定] の順にクリックします。
  3. 一般タブで、次の設定を行います:

    • 名前: 設定を識別する一意の名前。
    • 説明: 設定の説明 (オプション)。
    • ログのソースID:Deep Security Managerのホスト名の代わりに使用するオプションの識別子。

      Deep Security Managerがマルチノードの場合、各サーバノードのホスト名はそれぞれ異なります。したがって、ログソースIDは異なる場合があります。IDがホスト名に関係なく同じである必要がある場合 (たとえば、フィルタ目的の), では、ここで共有ログソースIDを設定できます。

      この設定は、Deep Security Agentによって直接送信されるイベントには適用されません。このイベントは、ログオン元IDとして常にホスト名が使用されます。

    • サーバ名: 受信SyslogサーバまたはSIEMサーバのホスト名またはIPアドレス。

    • サーバーポート: SIEM または Syslog サーバーのリスニングポート番号。UDP の場合、IANA 標準ポート番号は 514 です。TLS の場合、通常はポート 6514 です。ポート番号、URL、およびIPアドレスも参照してください。
    • トランスポート: トランスポートプロトコルが安全である (TLS)かどうか(UDP)。

      UDPの場合、Syslogメッセージは64 KBに制限されます。長いメッセージの場合は、データが切り捨てられることがあります。

      TLSの場合、マネージャとSyslogサーバはお互いの証明書を信頼する必要があります。ManagerからSyslogサーバへの接続は、TLS 1.2,1.1、または1.0で暗号化されます。

      TLSを設定するには、[エージェントが次のログを転送する]を設定する必要があります。 Via the Deep Security Manager (間接的に)。エージェントはTLSでの転送をサポートしていません。

    • イベントの形式: ログメッセージの形式がLEEF、CEF、またはBasic Syslogのいずれであるか。 syslogメッセージの形式

      LEE形式では、[エージェントは次のログを次のユーザに転送する]を設定する必要があります。 Deep Security Managerを介して(間接的に)。

      基本的なSyslog形式は、Deep Security 不正プログラム対策, Webレピュテーション, 変更監視、および アプリケーションコントロールではサポートされていません。

    • イベントにタイムゾーンを含めます。 イベントに完全な日付(年と時間帯を含む)を追加するかどうかを指定します。

      例 (選択された): 2018-09-14T01:02:17.123 + 04:00。

      例 (選択解除された): Sep 14 01:02:17。

      完全な日付を設定するには、[クライアントにログを転送する]を設定する必要があります。 Deep Security Managerを介して(間接的に)。

    • ファシリティ: イベントが関連付けられるプロセスの種類。Syslogサーバーはログメッセージのファシリティフィールドに基づいて優先順位を付けたりフィルタリングしたりすることがあります。Syslogのファシリティとレベルとは?も参照してください
    • エージェントはログを転送する必要があります:イベントをSyslogサーバに直接送信するか、またはDeep Security Managerを介して(間接的に)。

      ログをSyslogサーバに直接転送する場合、クライアントはクリアテキストUDPを使用します。ログには、セキュリティシステムに関する機密情報が含まれています。インターネットなどの信頼されていないネットワークを介してログを送信する場合は、VPNトンネルなどを追加して偵察や改ざんを防止することを検討してください。

      マネージャー経由でログを転送する場合、Deep Security Managerを設定して含めるようにしない限り、ファイアウォールおよび侵入防御パケットデータは含まれません。手順については、Deep Security Manager (DSM) 経由でパケットデータをsyslogに送信するを参照してください。

  4. Syslog または SIEM サーバーが TLS クライアントにクライアント認証(クライアント認証または相互認証とも呼ばれます。クライアント証明書を要求するを参照)を要求する場合、認証情報 タブで次の設定を行います

    • 秘密鍵: Deep Security Managerのクライアント証明書の秘密鍵を貼り付けます。
    • 証明書: Deep Security ManagerがSyslogサーバへのTLS接続で自身を識別するために使用する クライアントの 証明書を貼り付けます。Base64エンコード形式とも呼ばれるPEMを使用します。
    • 証明書チェーン: 中間CAがクライアント証明書に署名したが、SyslogサーバがそのCAを認識して信頼しない場合は、CA証明書を貼り付けて証明書を信頼するルートCAに関連付けます。各CA証明書の間にEnterキーを押します。
  5. [Apply] をクリックします。
  6. TLS転送メカニズムを選択した場合は、Deep Security ManagerとSyslogサーバの両方が互いの証明書に接続して信頼できることを確認します。

    1. [接続テスト] をクリックします。

      Deep Security Managerは、ホスト名の解決と接続を試行します。失敗した場合は、エラーメッセージが表示されます。

      Deep Security ManagerによってSyslogサーバ証明書またはSIEMサーバ証明書がまだ信頼されていない場合、接続は失敗し、 サーバ証明書を受け入れますか? メッセージが表示されます。このメッセージには、Syslogサーバの証明書の内容が表示されます。

    2. Syslogサーバの証明書が正しいことを確認してから、[ OK ]をクリックして認証を受け入れます。

      証明書は、 の[Administration]→[System Settings]→[Security]で、管理者の信頼された証明書のリストに追加されます。Deep Security Managerでは、自己署名証明書を使用できます。

    3. [ 接続のテスト] [ ]をもう一度クリックします。

      今すぐTLS接続が成功する必要があります。

  7. イベントを転送するには、選択を続けてください。システムイベントを転送するおよび/またはセキュリティイベントを転送するを参照してください。

システムイベントを転送する

Deep Security Manager は、管理者のログインやエージェントソフトウェアのアップグレードなどのシステムイベントを生成します。

  1. [管理]→[システム設定]→[イベントの転送] に進みます。
  2. 設定を使用してリモートコンピュータにシステムイベントを転送する (Syslog経由) から、既存の設定を選択するか、新規 をクリックします。詳細については、Syslog設定の定義を参照してください。
  3. [保存] をクリックします。

Deep Security Managerがマルチノードである場合、システムイベントは1つのノードからのみ送信され、重複が回避されます。

セキュリティイベントを転送する

Deep Security Agent保護機能は、セキュリティイベント(不正プログラムの検出やIPSルールのトリガーなど)を生成します。イベントを次のいずれかに転送できます:

  • 直接
  • 間接的に、Deep Security Manager経由で

一部のイベント転送オプション では、Deep Security Manager経由で間接的にエージェントイベントを転送する必要があります。

他のポリシー設定と同様、イベント転送の設定も特定のポリシーまたはコンピュータに対してオーバーライドすることができます。ポリシー、継承、およびオーバーライドを参照してください。

  1. [ポリシー] に移動します。
  2. コンピュータで使用されているポリシーをダブルクリックします。
  3. [設定] を選択します。
  4. [イベント転送] タブを選択します。
  5. イベント送信間隔から、イベント転送の頻度を選択します。
  6. 不正プログラム対策 Syslog 設定および他の保護モジュールのコンテキストメニューから、使用する Syslog 設定を選択するか、編集をクリックして変更し、なしを選択して無効にするか、新規をクリックします。詳細については、Syslog設定の定義を参照してください。
  7. [保存] をクリックします。

イベント転送のトラブルシューティング

Syslogメッセージ送信失敗アラート

Syslog設定に問題がある場合は、次のアラートが表示されることがあります。

Failed to Send Syslog Message
The Deep Security Manager was unable to forward messages to a Syslog Server.
Unable to forward messages to a Syslog Server

アラートには、影響を受けたSyslog設定へのリンクも含まれています。リンクをクリックして設定を開き、[ Test Connection ]をクリックして詳細な診断情報を取得します。接続が成功したことを示すか、原因に関する詳細が記載されたエラーメッセージが表示されます。

Syslog設定を編集できません

Syslog設定は表示されますが編集できない場合、アカウントに関連付けられている役割に適切な権限がない可能性があります。役割を設定できる管理者は、[ 管理]→[ユーザ管理]の順に選択して権限を確認できます。ユーザ名を選択して [プロパティ] をクリックします。 [その他の権利] [ ]タブで、 Syslog Configurations 設定でSyslog設定の編集権限が制御されます。ユーザと役割の詳細については、ユーザの追加と管理を参照してください。

Deep Security ManagerのSyslog設定セクションが表示されません。

Deep Security ManagerでSyslog設定の画面が表示されない場合は、マルチテナント環境のテナントで、プライマリテナントによってこの機能が無効化または設定されていることが考えられます。

証明書が期限切れのためにSyslogが転送されない

有効な証明書は、TLS経由で安全に接続するために必要です。TLSクライアント認証を設定しても証明書の有効期限が切れた場合、メッセージはSyslogサーバに送信されません。この問題を修正するには、新しい証明書を取得し、Syslog設定を新しい証明書の値でアップデートし、接続をテストしてから設定を保存します。

サーバ証明書が期限切れであるか変更されたためにSyslogが配信されない

有効な証明書は、TLS経由で安全に接続するために必要です。Syslogサーバの証明書が期限切れまたは変更されている場合は、Syslog設定を開き、[ 接続テストのテスト]をクリックします。新しい証明書を受け入れるように求められます。

互換性

Deep Securityは、次の製品のenterpriseバージョンでテストされています

  • Splunk 6.5.1
  • IBM QRadar 7.2.8 Patch 3 (TLSプロトコルパッチのPROTOCOL-TLSSyslog-7.2-20170104125004.noarchを適用)
  • HP ArcSight 7.2.2 (ArcSight-7.2.2.7742.0-Connectorツールを使用して作成されたTLS Syslog-NGコネクタを使用)

他の標準のSyslogソフトウェアも動作する可能性がありますが、検証されていません。