イベント転送ネットワークトラフィックを許可する

クライアント証明書をリクエストする

Syslog設定の定義

1. [ポリシー]→[共通オブジェクト]→[その他]→[Syslog設定]に移動してください。
2. [新規]→[新規設定]をクリックします。
3. [一般]タブで、次の設定を行います。
   • 名前:: 設定を識別する一意の名前。
   • 説明:: 設定の説明 (オプション)。
   • ログ送信元ID: Deep Security Managerのホスト名の代わりに使用するオプションの識別子。
     Deep Security Managerがマルチノードの場合、各サーバノードのホスト名はそれぞれ異なります。したがって、ログソースIDは異なる場合があります。IDがホスト名に関係なく同じである必要がある場合 (たとえば、フィルタ目的の), では、ここで共有ログソースIDを設定できます。
     この設定は、Deep Security Agentによって直接送信されるイベントには適用されません。このイベントは、ログオン元IDとして常にホスト名が使用されます。
   • サーバ名:: 受信SyslogサーバまたはSIEMサーバのホスト名またはIPアドレス。
   • サーバのポート:: SIEMまたはSyslogサーバのリスニングポート番号。UDPの場合、IANA標準ポート番号は514です。TLSの場合、通常ポート6514です。ポート番号も参照してください。
   • トランスポート:: トランスポートプロトコルが安全である (TLS) かどうか (UDP)。
     UDPの場合、Syslogメッセージは64 KBに制限されます。長いメッセージの場合は、データが切り捨てられることがあります。
     TLSの場合、マネージャとSyslogサーバはお互いの証明書を信頼する必要があります。ManagerからSyslogサーバへの接続は、TLS 1.2,1.1、または1.0で暗号化されます。
     TLSを設定するには、[Agentによるログ転送方法]を[Deep Security Manager経由](間接的に) に設定する必要があります。エージェントはTLSでの転送をサポートしていません。
   • イベント形式:: ログメッセージの形式がLEEF、CEF、またはBasic Syslogのいずれであるか。 Syslogメッセージの形式を参照してください。
     LEEF形式では、[Agentによるログ転送方法]を[Deep Security Manager経由](間接的に) に設定する必要があります。
     基本的なSyslog形式は、Deep Security 不正プログラム対策, Webレピュテーション, 変更監視、および アプリケーションコントロールではサポートされていません。
   • イベントにタイムゾーンを含める:: イベントに完全な日付 (年と時間帯を含む) を追加するかどうかを指定します。
     例 (選択された): 2018-09-14T01：02：17.123 + 04：00。
     例 (選択解除された): Sep 14 01:02:17。
     完全な日付を設定するには、[Agentによるログ転送方法]を[Deep Security Manager経由](間接的に) に設定する必要があります。
   • ファシリティ:: イベントが関連付けられるプロセスの種類。Syslogサーバーは、ログメッセージのファシリティフィールドに基づいて優先順位を付けたりフィルタリングしたりすることがあります。Syslogのファシリティとレベルとは?も参照してください
   • Agentによるログ転送方法:: イベントを[Directly to the Syslog server]または[Deep Security Manager経由](間接的に) 送信するかどうか。
     ログをSyslogサーバに直接転送する場合、クライアントはクリアテキストUDPを使用します。ログには、セキュリティシステムに関する機密情報が含まれています。インターネットなどの信頼されていないネットワークを介してログを送信する場合は、VPNトンネルなどを追加して偵察や改ざんを防止することを検討してください。
     マネージャ経由でログを転送する場合、Deep Security Managerを設定して含めるようにしない限り、ファイアウォールおよび侵入防御のパケットデータは含まれません。手順については、Deep Security Manager (DSM) を介して syslog にパケットデータを送信するを参照してください。
4. SyslogまたはSIEMサーバがTLSクライアントにクライアント認証 (双方向認証または相互認証とも呼ばれます。クライアント証明書の要求を参照) を要求する場合、[資格情報]タブで次の設定を行います。
   • 秘密鍵:: Deep Security Managerのクライアント証明書の秘密鍵を貼り付けます。
   • 証明書:: Deep Security ManagerがSyslogサーバへのTLS接続で自身を識別するために使用する client] 証明書を貼り付けます。Base64エンコード形式とも呼ばれるPEMを使用します。
   • 証明書チェーン:: 中間CAがクライアント証明書に署名したが、SyslogサーバがそのCAを認識して信頼しない場合は、CA証明書を貼り付けて証明書を信頼するルートCAに関連付けます。各CA証明書の間にEnterキーを押します。
5. [適用]をクリックします。
6. TLS転送メカニズムを選択した場合は、Deep Security ManagerとSyslogサーバの両方が互いの証明書に接続して信頼できることを確認します。
   1. [接続テスト]をクリックします。
      Deep Security Managerは、ホスト名の解決と接続を試行します。失敗した場合は、エラーメッセージが表示されます。
      Deep Security ManagerによってSyslogサーバ証明書またはSIEMサーバ証明書がまだ信頼されていない場合、接続は失敗し、[サーバ証明書を受け入れますか?]メッセージが表示されます。このメッセージには、Syslogサーバの証明書の内容が表示されます。
   2. Syslogサーバの証明書が正しいことを確認してから、[OK]をクリックして認証を受け入れます。
      証明書は、[管理]→[システム設定]→[セキュリティ]で、管理者の信頼された証明書のリストに追加されます。Deep Security Managerでは、自己署名証明書を使用できます。
   3. [接続テスト]をもう一度クリックしてください。
      今すぐTLS接続が成功する必要があります。
7. 続行するには、転送するイベントを選択します。システムイベントの転送および/またはセキュリティイベントの転送を参照してください。

システムイベントを転送する

1. [管理]→[システム設定]→ [イベントの転送]に移動します。
2. [設定を使用してリモートコンピュータにシステムイベントを転送する (Syslog経由)]から、既存の構成を選択するか、[新規]をクリックします。詳細については、Syslog構成の定義を参照してください。
3. [保存]をクリックします。

セキュリティイベントを転送する

• 直接
• 間接的に、Deep Security Manager経由で

1. [ポリシー]に移動します。
2. コンピュータで使用されているポリシーをダブルクリックします。
3. [設定]を選択します。
4. [イベントの転送]タブを選択してください。
5. [イベントの送信間隔]からイベント転送の頻度を選択します。
6. [不正プログラム対策のSyslog設定]および他の保護モジュールのコンテキストメニューから、使用するSyslog構成を選択するか、[編集]をクリックして変更し、[なし]を選択して無効にするか、[新規]をクリックします。詳細については、Syslog構成の定義を参照してください。
7. [保存します。]をクリック

イベント転送のトラブルシューティング

Syslogメッセージの送信に失敗アラート

Failed to Send Syslog Message
The Deep Security Manager was unable to forward messages to a Syslog Server.
Unable to forward messages to a Syslog Server

Syslog設定を編集できません

Deep Security ManagerのSyslog設定セクションが表示されません。

証明書が期限切れのためにSyslogが転送されない

サーバ証明書が期限切れであるか変更されたためにSyslogが配信されない

互換性

• IBM QRadar 7.2.8 Patch 3 (TLSプロトコルパッチのPROTOCOL-TLSSyslog-7.2-20170104125004.noarchを適用)
• HP ArcSight 7.2.2 (ArcSight-7.2.2.7742.0-Connectorツールを使用して作成されたTLS Syslog-NGコネクタを使用)