本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

外部のSyslogサーバまたはSIEMサーバへのDeep Securityイベントの転送

Amazon SNSにイベントを公開する場合は、Amazon SNSでのイベントへのアクセスを参照してください。

Deep Securityでは、2種類のイベントが記録されます。

  • システムイベント: 管理者のログインやAgentソフトウェアのアップグレードなど、管理またはシステム関連のイベント。これらのイベントは、Deep Security Managerで生成されます。
  • セキュリティイベント:保護モジュールのルールまたは条件がトリガされると記録されるイベント。これらのイベントは、Deep Security Agentで生成されます。

どちらのイベントについても、外部のSyslogサーバまたはセキュリティ情報/イベント管理 (SIEM) サーバに転送するようにDeep Securityを設定できます。ログメッセージの内容と形式は、メッセージの送信元がDeep Security ManagerかAgentコンピュータかによって多少異なります。形式の詳細については、syslogメッセージの形式を参照してください。

転送可能なイベントは2種類あり、それぞれ別々に設定する必要があります。

Deep Securityでは、SyslogまたはSIEMサーバへのイベント転送を有効にした後も、すべてのシステムイベントとセキュリティイベントが記録され、Deep Security Managerのレポートとグラフに表示されます。
SyslogまたはSIEMサーバとしてSplunkを使用している場合は、Splunk向けDeep Securityアプリの使用を検討してください。このアプリでは、ダッシュボードや保存された検索を利用できます。

システムイベントをSyslogまたはSIEMサーバに転送する

  1. [管理]→[システム設定]→[イベントの転送] に進みます。
  2. [設定を使用してリモートコンピュータにシステムイベントを転送する (Syslog経由)] リストで、既存のSyslog設定を選択するか、[新規] を選択して新しい設定を定義します (詳細については、Syslog設定を定義するを参照してください)。
  3. [保存] をクリックします。

セキュリティイベントをSyslogまたはSIEMサーバに転送する

セキュリティイベントは、Agentによって保護モジュールごとに生成されます。このイベントは、2つの方法で転送できます。

TLSを使用してセキュアなSyslogメッセージを送信する場合は、Deep Security Manager経由で送信する必要があります。Agentから直接送信するSyslogメッセージは、UDPを使用してクリアテキストで転送されます。

設定は上位の親ポリシーから環境全体に継承することが推奨されますが、Deep Securityの他の設定と同様、イベント転送の設定も特定のポリシーまたはコンピュータに対してオーバーライドすることができます (ポリシー、継承、およびオーバーライドを参照してください)。

AgentコンピュータからSyslogまたはSIEMサーバに直接セキュリティイベントを転送する

  1. [ポリシー] に移動します。
  2. コンピュータからSyslogサーバにイベントを直接転送するために使用するポリシーをダブルクリックします。
  3. [設定]→[イベントの転送] に進みます。
  4. [イベント転送の頻度 (Agent/Applianceから)] で、AgentまたはApplianceからSyslogまたはSIEMサーバにイベントを送信する頻度を指定します。
  5. [イベント転送設定 (Agent/Applianceから)] で、それぞれの保護モジュールに使用するSyslog設定を指定します。オプションは次のとおりです。
    • 継承 (設定名): 親ポリシーまたはコンピュータの動作を継承します。
    • なし: イベントを転送しません。
    • Syslog設定名: 指定したSyslog設定に従ってイベントを転送します。設定の詳細を確認または編集するには、[編集] をクリックします。[トランスポート] が「UDP」、[Agentによるログ転送方法] が「Syslogサーバに直接」に設定されている必要があります。
    • 新規:新しい設定を定義できます (詳細については、Syslog設定を定義するを参照してください)。[トランスポート] が「UDP」、[Agentによるログ転送方法] が「Syslogサーバに直接」に設定されている必要があります。
  6. [保存] をクリックします。

AgentコンピュータからDeep Security Manager経由でセキュリティイベントを転送する

イベントをDeep Security Manager経由で転送する場合は、イベントがハートビート ([設定]→[一般]→[ハートビート間隔 (分)]) ごとに収集されます。

  1. [ポリシー] に移動します。
  2. コンピュータからDeep Security Manager経由でセキュリティイベントを転送するために使用するポリシーをダブルクリックします。
  3. [設定]→[イベントの転送] に進みます。
  4. [イベント転送設定 (Agent/Applianceから)] で、それぞれの保護モジュールに使用するSyslog設定を指定します。オプションは次のとおりです。
    • 継承 (設定名): 親ポリシーまたはコンピュータの動作を継承します。
    • なし:イベントを転送しません。
    • Syslog設定名: 指定したSyslog設定に従ってイベントを転送します。設定の詳細を確認または編集するには、[編集] をクリックします。[Agentによるログ転送方法] が「Deep Security Manager経由」に設定されている必要があります。
    • 新規:新しい設定を定義できます (詳細については、Syslog設定を定義するを参照してください)。[Agentによるログ転送方法] が「Deep Security Manager経由」に設定されている必要があります。
  5. [保存] をクリックします。

Syslog設定を定義する

Syslog設定を定義して、システムイベントかセキュリティイベント、または両方に割り当てることができます。Syslog設定は、必要に応じていくつでも定義できます。

既存のSyslog設定を確認するには、[ポリシー]→[共通オブジェクト]→[その他]→[Syslog設定] の順に選択します。表示された画面で、設定の追加と編集が可能です。設定をインポートしたりエクスポートしたりすることもできます。

2017年1月26日より前に設定したSyslogまたはSIEMサーバ設定は、Syslog設定に変換されて [Syslog設定] 画面に表示されます。同一の設定があった場合、すべて1つにマージされます。

新しい設定を追加するには、次の手順に従います。

  1. [新規]→[新規設定] の順にクリックします。
  2. [一般] タブで、次の項目を設定します。
    • 名前: 設定を識別するわかりやすい名前。名前は一意である必要があります。
    • 説明: 設定の説明 (オプション)。
    • ログ送信元ID: SyslogまたはSIEMサーバに送信されるSyslogメッセージには、メッセージの送信元を識別できるように、レポートされたホスト名が含まれます。[ログ送信元ID] 設定を指定しない場合、複数ノード構成でDeep Security Managerを実行している環境では、IDとして各ノードから異なるホスト名が送信されます。各Managerノードで同じIDを使用する (すべてのSyslogメッセージを同じ送信元から送信されたものとして扱う) 場合は、共通のログ送信元IDを指定できます。Deep Security AgentからSyslogまたはSIEMサーバに直接送信されるSyslogメッセージでは、レポートされたコンピュータホスト名が使用され、ログ送信元IDを使用することはできません。
    • サーバ名:イベントの送信先のホスト名またはIPアドレス。イベント転送が機能するためには、SyslogまたはSIEMサーバとルータ、ファイアウォール、およびセキュリティグループで、Deep Security Managerからの受信トラフィックを許可する必要があります。
      インターネット経由でSyslogまたはSIEMサーバにアクセス可能であること、およびDNSドメイン名が解決可能であることを確認してください。SyslogサーバまたはSIEMへの接続に使用されるアドレスの詳細については、Deep Security as a ServiceのIPアドレスを参照してください。
      イベントをDeep Security Agentから直接転送する場合は、Agentからのトラフィックも許可する必要があります。
    • サーバのポート:イベントの送信先のUDPポートまたはTLSポート。通常、UDPにはポート514、TLSにはポート6514を使用します。詳細については、ポート番号、URL、およびIPアドレスを参照してください。
    • イベント形式:ログメッセージの形式。形式の詳細については、syslogメッセージの形式を参照してください。
      LEEF形式は、Deep Security Managerから送信されるメッセージでのみサポートされます。Basic Syslog形式は、不正プログラム対策、Webレピュテーション、変更監視、アプリケーションコントロール保護モジュールではサポートされていません。
    • トランスポート:UDPまたはTLS。Agentから直接送信するセキュリティイベントは、UDPで送信する必要があります。Manager経由で送信するシステムイベントおよびセキュリティイベントは、UDPとTLS (SSLの新しいバージョン) のどちらでも送信できます。UDPを選択した場合、イベントはクリアテキストで送信されます。TLSを選択した場合、イベントはTLS 1.2、1.1、または1.0で暗号化されて送信されます。UDPを介してSyslogメッセージを転送する場合、最大64KBに制限されます。長いメッセージの場合は、データが切り捨てられることがあります。
    • イベントにタイムゾーンを含める:このオプションは、AgentがDeep Security Manager経由でログを転送する場合にのみ利用できます。AgentがイベントをSyslogサーバに直接転送する場合は利用できません。このオプションを選択した場合は、完全な日付とタイムゾーンの情報がイベントに追加されます。例:2018-09-14T01:02:17.123+04:00。選択しない場合は、月、日、および時刻が追加されます (タイムゾーンと年は追加されません)。例:Sep 14 01:02:17.
    • ファシリティ:メッセージをログに記録しているプログラムまたはプロセスの種類。
    • Agentによるログ転送方法:この設定は、セキュリティイベントの転送時に適用されます。Syslogメッセージの送信方法として、[Syslogサーバに直接] または [Deep Security Manager経由] のどちらかを選択できます。
    LEEFまたはTLSを選択した場合、このオプションは [Deep Security Manager経由] に設定されており、変更することはできません。
  3. トランスポートメカニズムとしてTLSを選択した場合は、追加で次の手順を実行します。

    • SyslogまたはSIEMサーバがTLSクライアント認証を要求するように設定されている場合は、セキュアなSyslog設定のTLS証明書を提供する必要があります。この証明書は、Deep Security ManagerとSIEMまたはSyslogサーバの間のすべての接続に使用されます。証明書を提供するには、[資格情報] タブをクリックし、Deep Security Manager証明書の秘密鍵証明書、および証明書チェーン (必要な場合) をPEM形式 (base64でエンコードされた形式) で指定します。SyslogまたはSIEMサーバは、自己署名証明書を受け入れる場合と受け入れない場合があります。詳細についてはドキュメントを参照してください。

    • [接続テスト] をクリックします。

    • SyslogまたはSIEMサーバ証明書がDeep Security Managerにまだ認識されていない場合は、「サーバ証明書を受け入れますか?」というメッセージが表示されます。このメッセージには証明書の内容が表示されます。確認して [OK] をクリックします。証明書は、[管理]→[システム設定]→[セキュリティ] に表示されるManagerのDeep Securityリストに追加されます。Deep Security Managerは、有効期限チェックなどの標準の検証に成功する限り、自己署名証明書を受け入れます。

    • 再度 [接続テスト] をクリックすると、受け入れたばかりの証明書を使用してTLS接続が確立されます。Managerの上部に成功または失敗のメッセージが表示されます。

トラブルシューティング

「Syslogメッセージの送信に失敗」アラート

Syslog設定に問題がある場合、次のアラートが表示されることがあります。

Syslogメッセージの送信に失敗
Syslogサーバにメッセージを転送できませんでした。
Syslogサーバにメッセージを転送できません

このアラートには、該当するSyslog設定へのリンクも記載されています。リンクをクリックして設定を開き、[接続テスト] ボタンをクリックすると、詳しいトラブルシューティング情報を確認できます。接続に成功したことを示すメッセージか、問題の原因に関する詳細情報を示すエラーメッセージが表示されます。

Syslog設定を編集できない

Syslog設定を表示できても編集することができない場合は、アカウントに関連付けられた役割に適切な権限が割り当てられていないことが考えられます。権限を確認できるのは、役割の設定を許可された管理者のみです。[管理]→[ユーザ管理] に移動し、ユーザ名を選択して [プロパティ] をクリックします。Syslog設定を編集できるかどうかは、[その他の権限] タブの [Syslog設定] の設定で制御されます。ユーザと役割の詳細については、ユーザの作成と管理を参照してください。

証明書が期限切れのためにSyslogが転送されない

TLSクライアント認証を設定している場合、証明書の期限が切れると、SyslogメッセージがSyslogサーバに送信されなくなります。この問題を解決するには、新しい証明書を取得して、その新しい証明書の値でSyslog設定をアップデートし、接続をテストして設定を保存します。

サーバ証明書が期限切れであるか変更されたためにSyslogが配信されない

Syslogサーバの証明書が期限切れになった場合や変更された場合は、Syslog設定を開き、[接続テスト] ボタンをクリックします。新しい証明書を受け入れるように求められます。

テスト済みのSyslogまたはSIEMサーバ

Deep Securityは、次の製品のEnterpriseバージョンでテストされています。

  • Splunk 6.5.1
  • IBM QRadar 7.2.8 Patch 3 (TLSプロトコルパッチのPROTOCOL-TLSSyslog-7.2-20170104125004.noarchを適用)
  • HP ArcSight 7.2.2 (ArcSight-7.2.2.7742.0-Connectorツールを使用して作成されたTLS Syslog-NGコネクタを使用)