Deep SecurityイベントをSyslogまたはSIEMサーバに転送する

イベントは、外部のSyslogサーバまたはSecurity Information and Event Management(SIEM)サーバに送信できます。これは、集中管理された監視、カスタムレポート、またはDeep Security Managerのローカルディスクの空き容量の確保に役立ちます。

または、イベントをAmazon SNSに公開する場合は、 Amazon SNSを設定するでのイベントのアクセスを参照してください。

基本的な手順は次のとおりです。

  1. イベント転送ネットワークトラフィックを許可する
  2. クライアント証明書を要求する
  3. Syslog設定を定義する
  4. システムイベントを転送する and/or セキュリティイベントを転送する

イベント転送ネットワークトラフィックを許可する

すべてのルータ、ファイアウォール、およびセキュリティグループでは、 Deep Security Managerからの受信トラフィック(およびセキュリティイベントの直接転送のために、エージェントからの受信トラフィック)をSyslogサーバに送信する必要があります。ポート番号、URL、およびIPアドレスも参照してください。Syslogサーバはインターネット経由でアクセス可能で、ドメイン名はグローバルにDNSで解決可能である必要があります。 Deep Security as a ServiceのIPアドレスも参照してください。

クライアント証明書を要求する

イベントを安全に転送するには(TLS), を使用し、Syslogサーバでクライアント認証が必要な場合は クライアントの (サーバではない)証明書の署名要求(CSR).)を生成する必要があります。Deep Security Managerは、クライアントとしてSyslogサーバに接続する際に、この証明書を使用して自身を識別および認証します。クライアント証明書の要求方法の詳細については、CA(CA).)にお問い合わせください。

一部のSyslogサーバでは、自己署名サーバ証明書を使用できません(Deep Security Managerの初期設定の).など)CA署名されたクライアント証明書が必要です。

Syslogサーバが信頼するCA、または証明書が信頼されたルートCAによって直接的または間接的に署名された中間CAのいずれかを使用します。(これは「信頼チェーン」または「署名チェーン".)」とも呼ばれます。

CAから署名された証明書を受信すると、CA証明書をDeep Security Managerにアップロードするために、 Syslog設定を定義するを続行します。

Syslog設定を定義する

Syslog設定では、システムイベントまたはセキュリティイベントの転送時に使用できる宛先と設定を定義します。

2017年1月26日より前にSIEMまたはSyslogを設定した場合、Syslog設定に変換されています。同じ設定がマージされました。

  1. [ Policies]→[Common Objects]→[Other]→[Syslog Configurations]→[]の順に選択します。
  2. [新規]→[新規設定] の順にクリックします。
  3. [ General]タブで、次の項目を設定します。

    • 名前: 設定を識別する一意の名前。
    • 説明: 設定の説明 (オプション)。
    • ログのソースID:Deep Security Managerのホスト名の代わりに使用するオプションの識別子。

      Deep Security Managerがマルチノードの場合、各サーバノードのホスト名はそれぞれ異なります。したがって、ログソースIDは異なる場合があります。IDがホスト名に関係なく同じである必要がある場合(たとえば、フィルタ目的の), では、ここで共有ログソースIDを設定できます。

      この設定は、Deep Security Agentによって直接送信されるイベントには適用されません。このイベントは、ログオン元IDとして常にホスト名が使用されます。

    • サーバ名: 受信SyslogサーバまたはSIEMサーバのホスト名またはIPアドレス。

    • サーバポート: SIEMまたはSyslogサーバ上のポート番号を待機します。UDPの場合、IANA標準のポート番号は514です。通常、UDPにはポート6514、ポート番号、URL、およびIPアドレスも参照してください。
    • トランスポート: トランスポートプロトコルが安全である(TLS)かどうか(UDP).)

      UDPの場合、Syslogメッセージは64 KBに制限されます。長いメッセージの場合は、データが切り捨てられることがあります。

      TLSの場合、マネージャとSyslogサーバはお互いの証明書を信頼する必要があります。ManagerからSyslogサーバへの接続は、TLS 1.2,1.1、または1.0で暗号化されます。

      TLS では、Deep Security Manager でログを転送するように設定する必要があります (間接の).エージェントはTLSでの転送をサポートしていません。

    • イベントの形式: ログメッセージの形式がLEEF、CEF、またはBasic Syslogのいずれであるか。 syslogメッセージの形式

      LEEF format では、エージェントが Deep Security Manager 経由でログを転送するように設定する必要があります。
      基本Syslog形式は、Deep Securityの不正プログラム対策、Webレピュテーション、変更監視、およびアプリケーション制御ではサポートされません。
    • イベントにタイムゾーンを含めます。 イベントに完全な日付(年と時間帯を含む)を追加するかどうかを指定します。

      例(選択された): 2018-09-14T01:02:17.123 + 04:00。

      例(選択解除された): Sep 14 01:02:17。

      日付を指定するには、エージェントがログをDeep Security Managerに転送するように設定する必要があります (間接の).
    • ファシリティ: イベントが関連付けられるプロセスのタイプ。Syslogサーバは、ログメッセージの機能フィールドに基づいて優先順位を付けたり、フィルタを適用したりできます。関連項目 Syslogの機能とレベルとは
    • エージェントはログを転送する必要があります: イベントを送信するかどうか Syslogサーバ または に直接接続する Deep Security Manager 経由で(間接的に).

      ログをSyslogサーバに直接転送する場合、クライアントはクリアテキストUDPを使用します。ログには、セキュリティシステムに関する機密情報が含まれています。インターネットなどの信頼されていないネットワークを介してログを送信する場合は、VPNトンネルなどを追加して偵察や改ざんを防止することを検討してください。
      Managerを介してログを転送する場合、ファイアウォールおよび侵入防御パケットデータは含まれません。ただし、Deep Security Managerを設定しない限り、そのデータは含まれません。手順については、 Deep Security Manager(DSM)によるSyslogへのパケットデータの送信を参照してください。
  4. TLSクライアントがクライアント認証を行うことをSyslogサーバまたはSIEMサーバで要求する場合(バイラテラルまたは相互認証とも呼ばれます。クライアント証明書を要求する), 要求を参照し、[ Credentials ]タブで次の項目を設定します)。

    • 秘密鍵: Deep Security Managerのクライアント証明書の秘密鍵を貼り付けます。
    • 証明書: Deep Security ManagerがSyslogサーバへのTLS接続で自身を識別するために使用する クライアントの 証明書を貼り付けます。Base64エンコード形式とも呼ばれるPEMを使用します。
    • 証明書チェーン: 中間CAがクライアント証明書に署名したが、SyslogサーバがそのCAを認識して信頼しない場合は、CA証明書を貼り付けて証明書を信頼するルートCAに関連付けます。各CA証明書の間にEnterキーを押します。
  5. [Apply] をクリックします。
  6. TLS転送メカニズムを選択した場合は、Deep Security ManagerとSyslogサーバの両方が互いの証明書に接続して信頼できることを確認します。

    1. [接続テスト] をクリックします。

      Deep Security Managerは、ホスト名の解決と接続を試行します。失敗した場合は、エラーメッセージが表示されます。

      Deep Security ManagerによってSyslogまたはSIEMサーバ証明書がまだ信頼されていない場合、接続は失敗し、 サーバ証明書を受け入れますか? メッセージが表示されます。このメッセージには、Syslogサーバの証明書の内容が表示されます。

    2. Syslogサーバの証明書が正しいことを確認してから、[ OK ]をクリックして認証を受け入れます。

      証明書は、 の[Administration]→[System Settings]→[Security]で、管理者の信頼された証明書のリストに追加されます。Deep Security Managerは自己署名証明書を受け入れることができます。

    3. [ 接続のテスト] [ ]をもう一度クリックします。

      今すぐTLS接続が成功する必要があります。

  7. 続行するには、転送するイベントを選択します。 システムイベントを転送する and/or セキュリティイベントを転送するを参照してください。

システムイベントを転送する

Deep Security Managerは、システムイベント(管理者ログインやエージェントソフトウェア).のアップグレードなど)を生成します。

  1. [管理]→[システム設定]→[イベントの転送] に進みます。
  2. システムイベントを、設定を使用してリモートコンピュータ(Syslog経由)に転送する場合は、既存の設定を選択するか、[ ] [新規]を選択します。詳細については、 Syslog設定を定義するの定義を参照してください。
  3. [Save] をクリックします。

セキュリティイベントを転送する

Deep Security Agentの保護機能は、セキュリティイベントを生成します(不正プログラムの検出やIPSルールの起動など)。).次のいずれかのイベントを転送できます。

  • 直接
  • 間接的に、Deep Security Manager経由で

一部のイベント転送オプション では、Deep Security Manager経由で間接的にエージェントイベントを転送する必要があります。

他のポリシー設定と同様に、特定のポリシーまたはコンピュータのイベント転送設定を無効にすることもできます。ポリシー、継承、およびオーバーライドを参照してください。

  1. [ポリシー] に移動します。
  2. コンピュータで使用されているポリシーをダブルクリックします。
  3. Settings を選択し、[ Event Forwarding ]タブを選択します。
  4. From Eventの送信間隔、イベントの転送間隔を選択します。
  5. の不正プログラム対策のSyslog設定 とその他の保護モジュールのドロップダウンメニューから、使用するSyslog設定を選択するか、 の[ 編集]をクリックして変更するか、 なし を選択して無効にするか、[ New]をクリックします。詳細については、 Syslog設定を定義するの定義を参照してください。
  6. [保存] をクリックします。

イベント転送のトラブルシューティング

「Syslogメッセージの送信に失敗」アラート

Syslog設定に問題がある場合、次のアラートが表示されることがあります。

Syslogメッセージの送信に失敗
Syslogサーバにメッセージを転送できませんでした。
Syslogサーバにメッセージを転送できません

このアラートには、該当するSyslog設定へのリンクも記載されています。リンクをクリックして設定を開き、[ Test Connection ]をクリックして詳細な診断情報を取得します。接続が成功したことを示すか、原因に関する詳細が記載されたエラーメッセージが表示されます。

Syslog設定を編集できません

Syslog設定を表示できても編集することができない場合は、アカウントに関連付けられた役割に適切な権限が割り当てられていないことが考えられます。役割を設定できる管理者は、[ 管理]→[ユーザ管理]の順に選択して権限を確認できます。ユーザ名を選択して [プロパティ] をクリックします。Syslog設定を編集できるかどうかは、[その他の権限] タブの [Syslog設定] の設定で制御されます。ユーザと役割の詳細については、ユーザの追加と管理を参照してください。

証明書が期限切れのためにSyslogが転送されない

有効な証明書は、TLS経由で安全に接続するために必要です。TLSクライアント認証を設定しても証明書の有効期限が切れた場合、メッセージはSyslogサーバに送信されません。この問題を修正するには、新しい証明書を取得し、Syslog設定を新しい証明書の値でアップデートし、接続をテストしてから設定を保存します。

サーバ証明書が期限切れであるか変更されたためにSyslogが配信されない

有効な証明書は、TLS経由で安全に接続するために必要です。Syslogサーバの証明書が期限切れまたは変更されている場合は、Syslog設定を開き、[ 接続テストのテスト]をクリックします。新しい証明書を受け入れるように求められます。

互換性

Deep Securityは次のエンタープライズ版でテスト済みです。

  • Splunk 6.5.1
  • IBM QRadar 7.2.8 Patch 3 (TLSプロトコルパッチのPROTOCOL-TLSSyslog-7.2-20170104125004.noarchを適用)
  • HP ArcSight 7.2.2 (ArcSight-7.2.2.7742.0-Connectorツールを使用して作成されたTLS Syslog-NGコネクタを使用)

他の標準のSyslogソフトウェアも動作する可能性がありますが、検証されていません。

Splunkを使用している場合は、Splunk の Deep Securityアプリを使用して、ダッシュボードと保存された検索を取得できます。