イベントは、外部のSyslogサーバまたはSecurity Information and Event Management(SIEM)サーバに送信できます。これは、集中管理された監視、カスタムレポート、またはDeep
Security Managerのローカルディスクの空き容量の確保に役立ちます。
外部サーバへのイベント転送を有効にしても、Deep Security Managerはレポートやグラフに表示するためにシステムおよびセキュリティイベントをローカルに記録します。そのため、ディスク使用量を減らす必要がある場合、イベント転送だけでは不十分です。イベントをローカルに保持する期間の設定も行う必要があります。
または、イベントをAmazon SNSに公開する場合は、 Amazon SNSでのイベントのアクセスを参照してください。
基本的な手順は次のとおりです。
-
システムイベントを転送および/またはセキュリティイベントを転送
イベント転送ネットワークトラフィックを許可する
すべてのルータ、ファイアウォール、およびセキュリティグループでは、Deep Security Managerからの受信トラフィック (およびセキュリティイベントの直接転送のために、エージェントからの受信トラフィック)
をSyslogサーバに送信する必要があります。ポート番号も参照してください。
クライアント証明書をリクエストする
イベントを安全に転送したい場合 (TLS経由)、およびSyslogサーバがクライアント認証を必要とする場合は、クライアント (サーバではなく) 証明書署名要求 (CSR)
を生成する必要があります。Deep Security Managerは、この証明書を使用して、Syslogサーバにクライアントとして接続する際に自身を識別および認証します。クライアント証明書の要求方法については、証明書認証局
(CA) にお問い合わせください。
一部のSyslogサーバは自己署名サーバ証明書 (Deep Security Managerのデフォルトなど) を受け入れません。CA署名のクライアント証明書が必要です。
Syslogサーバが信頼するCA、または信頼されたルートCAによって直接または間接的に署名された中間CAを使用してください (これは信頼チェーンまたは署名チェーンとも呼ばれます)。
CAから署名された証明書を受信すると、CA証明書をDeep Security Managerにアップロードするために、Syslog設定を続行します。
Syslog設定の定義
Syslog設定では、システムイベントまたはセキュリティイベントの転送時に使用できる宛先と設定を定義します。
2017年1月26日より前にSIEMまたはSyslogを設定した場合、Syslog設定に変換されています。同じ設定がマージされました。
-
[ポリシー]→[共通オブジェクト]→[その他]→[Syslog設定]に移動してください。
-
[新規]→[新規設定]をクリックします。
-
[一般]タブで、次の設定を行います。
-
名前:: 設定を識別する一意の名前。
-
説明:: 設定の説明 (オプション)。
-
ログ送信元ID: Deep Security Managerのホスト名の代わりに使用するオプションの識別子。Deep Security Managerがマルチノードの場合、各サーバノードのホスト名はそれぞれ異なります。したがって、ログソースIDは異なる場合があります。IDがホスト名に関係なく同じである必要がある場合 (たとえば、フィルタ目的の), では、ここで共有ログソースIDを設定できます。この設定は、Deep Security Agentによって直接送信されるイベントには適用されません。このイベントは、ログオン元IDとして常にホスト名が使用されます。
-
サーバ名:: 受信SyslogサーバまたはSIEMサーバのホスト名またはIPアドレス。
-
サーバのポート:: SIEMまたはSyslogサーバのリスニングポート番号。UDPの場合、IANA標準ポート番号は514です。TLSの場合、通常ポート6514です。ポート番号も参照してください。
-
トランスポート:: トランスポートプロトコルが安全である (TLS) かどうか (UDP)。UDPの場合、Syslogメッセージは64 KBに制限されます。長いメッセージの場合は、データが切り捨てられることがあります。TLSの場合、マネージャとSyslogサーバはお互いの証明書を信頼する必要があります。ManagerからSyslogサーバへの接続は、TLS 1.2,1.1、または1.0で暗号化されます。TLSを設定するには、[Agentによるログ転送方法]を[Deep Security Manager経由](間接的に) に設定する必要があります。エージェントはTLSでの転送をサポートしていません。
-
イベント形式:: ログメッセージの形式がLEEF、CEF、またはBasic Syslogのいずれであるか。 Syslogメッセージの形式を参照してください。LEEF形式では、[Agentによるログ転送方法]を[Deep Security Manager経由](間接的に) に設定する必要があります。基本的なSyslog形式は、Deep Security 不正プログラム対策, Webレピュテーション, 変更監視、および アプリケーションコントロールではサポートされていません。
-
イベントにタイムゾーンを含める:: イベントに完全な日付 (年と時間帯を含む) を追加するかどうかを指定します。例 (選択された): 2018-09-14T01:02:17.123 + 04:00。例 (選択解除された): Sep 14 01:02:17。完全な日付を設定するには、[Agentによるログ転送方法]を[Deep Security Manager経由](間接的に) に設定する必要があります。
-
ファシリティ:: イベントが関連付けられるプロセスの種類。Syslogサーバーは、ログメッセージのファシリティフィールドに基づいて優先順位を付けたりフィルタリングしたりすることがあります。Syslogのファシリティとレベルとは?も参照してください
-
Agentによるログ転送方法:: イベントを[Directly to the Syslog server]または[Deep Security Manager経由](間接的に) 送信するかどうか。ログをSyslogサーバに直接転送する場合、クライアントはクリアテキストUDPを使用します。ログには、セキュリティシステムに関する機密情報が含まれています。インターネットなどの信頼されていないネットワークを介してログを送信する場合は、VPNトンネルなどを追加して偵察や改ざんを防止することを検討してください。マネージャ経由でログを転送する場合、Deep Security Managerを設定して含めるようにしない限り、ファイアウォールおよび侵入防御のパケットデータは含まれません。手順については、Deep Security Manager (DSM) を介して syslog にパケットデータを送信するを参照してください。
-
-
SyslogまたはSIEMサーバがTLSクライアントにクライアント認証 (双方向認証または相互認証とも呼ばれます。クライアント証明書の要求を参照) を要求する場合、[資格情報]タブで次の設定を行います。
-
秘密鍵:: Deep Security Managerのクライアント証明書の秘密鍵を貼り付けます。
-
証明書:: Deep Security ManagerがSyslogサーバへのTLS接続で自身を識別するために使用する client] 証明書を貼り付けます。Base64エンコード形式とも呼ばれるPEMを使用します。
-
証明書チェーン:: 中間CAがクライアント証明書に署名したが、SyslogサーバがそのCAを認識して信頼しない場合は、CA証明書を貼り付けて証明書を信頼するルートCAに関連付けます。各CA証明書の間にEnterキーを押します。
-
-
[適用]をクリックします。
-
TLS転送メカニズムを選択した場合は、Deep Security ManagerとSyslogサーバの両方が互いの証明書に接続して信頼できることを確認します。
-
[接続テスト]をクリックします。Deep Security Managerは、ホスト名の解決と接続を試行します。失敗した場合は、エラーメッセージが表示されます。Deep Security ManagerによってSyslogサーバ証明書またはSIEMサーバ証明書がまだ信頼されていない場合、接続は失敗し、[サーバ証明書を受け入れますか?]メッセージが表示されます。このメッセージには、Syslogサーバの証明書の内容が表示されます。
-
Syslogサーバの証明書が正しいことを確認してから、[OK]をクリックして認証を受け入れます。証明書は、[管理]→[システム設定]→[セキュリティ]で、管理者の信頼された証明書のリストに追加されます。Deep Security Managerでは、自己署名証明書を使用できます。
-
[接続テスト]をもう一度クリックしてください。今すぐTLS接続が成功する必要があります。
-
-
続行するには、転送するイベントを選択します。システムイベントの転送および/またはセキュリティイベントの転送を参照してください。
システムイベントを転送する
Deep Security Managerは、管理者のログインやエージェントソフトウェアのアップグレードなどのシステムイベントを生成します。
-
[管理]→[システム設定]→ [イベントの転送]に移動します。
-
[設定を使用してリモートコンピュータにシステムイベントを転送する (Syslog経由)]から、既存の構成を選択するか、[新規]をクリックします。詳細については、Syslog構成の定義を参照してください。
-
[保存]をクリックします。
Deep Security Managerがマルチノードである場合、システムイベントは1つのノードからのみ送信され、重複が回避されます。
セキュリティイベントを転送する
Deep Security Agent保護機能は、セキュリティイベント(不正プログラムの検出やIPSルールのトリガーなど)を生成します。イベントを次のいずれかに転送できます:
-
直接
-
間接的に、Deep Security Manager経由で
一部のイベント転送オプション では、Deep Security Manager経由で間接的にエージェントイベントを転送する必要があります。
他のポリシー設定と同様、イベント転送の設定も特定のポリシーまたはコンピュータに対してオーバーライドすることができます。ポリシー、継承、およびオーバーライドを参照してください。
-
[ポリシー]に移動します。
-
コンピュータで使用されているポリシーをダブルクリックします。
-
[設定]を選択します。
-
[イベントの転送]タブを選択してください。
-
[イベントの送信間隔]からイベント転送の頻度を選択します。
-
[不正プログラム対策のSyslog設定]および他の保護モジュールのコンテキストメニューから、使用するSyslog構成を選択するか、[編集]をクリックして変更し、[なし]を選択して無効にするか、[新規]をクリックします。詳細については、Syslog構成の定義を参照してください。
-
[保存します。]をクリック
イベント転送のトラブルシューティング
Syslogメッセージの送信に失敗アラート
Syslog設定に問題がある場合は、次のアラートが表示されることがあります。
Failed to Send Syslog Message The Deep Security Manager was unable to forward messages to a Syslog Server. Unable to forward messages to a Syslog Server
アラートには、影響を受けたSyslog設定へのリンクも含まれています。リンクをクリックして設定を開き、[接続テスト]をクリックして詳細な診断情報を取得します。接続が成功したことを示すか、原因に関する詳細が記載されたエラーメッセージが表示されます。
Syslog設定を編集できません
Syslog設定は表示されますが編集できない場合、アカウントに関連付けられている役割に適切な権限がない可能性があります。役割を設定できる管理者は、[管理]→ User Management]の順に選択して権限を確認できます。ユーザ名を選択して[プロパティ]をクリックします。[その他の権限]タブで、[Syslog設定]設定でSyslog設定の編集権限が制御されます。ユーザと役割の詳細については、ユーザの作成と管理を参照してください。
Deep Security ManagerのSyslog設定セクションが表示されません。
Deep Security ManagerでSyslog設定の画面が表示されない場合は、マルチテナント環境のテナントで、プライマリテナントによってこの機能が無効化または設定されていることが考えられます。
証明書が期限切れのためにSyslogが転送されない
有効な証明書は、TLS経由で安全に接続するために必要です。TLSクライアント認証を設定しても証明書の有効期限が切れた場合、メッセージはSyslogサーバに送信されません。この問題を修正するには、新しい証明書を取得し、Syslog設定を新しい証明書の値でアップデートし、接続をテストしてから設定を保存します。
サーバ証明書が期限切れであるか変更されたためにSyslogが配信されない
有効な証明書は、TLS経由で安全に接続するために必要です。Syslogサーバの証明書が期限切れまたは変更されている場合は、Syslog設定を開き、[接続テスト]をクリックします。新しい証明書を受け入れるように求められます。
互換性
Deep Securityは、次の製品のenterpriseバージョンでテストされています。
-
IBM QRadar 7.2.8 Patch 3 (TLSプロトコルパッチのPROTOCOL-TLSSyslog-7.2-20170104125004.noarchを適用)
-
HP ArcSight 7.2.2 (ArcSight-7.2.2.7742.0-Connectorツールを使用して作成されたTLS Syslog-NGコネクタを使用)
他の標準のSyslogソフトウェアも動作する可能性がありますが、検証されていません。