ビュー:
イベントは、外部のSyslogサーバまたはSecurity Information and Event Management(SIEM)サーバに送信できます。これは、集中監視およびカスタムレポートに役立ちます。
また、Amazon SNSにイベントを公開したい場合は、Amazon SNSでイベントにアクセスするを参照してください。
以下は基本的な手順です。
  1. イベント転送ネットワークトラフィックを許可
  2. Syslog構成を定義する
  3. システムイベントを転送 または セキュリティイベントを転送

イベント転送ネットワークトラフィックを許可する 親トピック

すべてのルーター、ファイアウォール、およびセキュリティグループは、Workload Securityからのインバウンドトラフィック (およびセキュリティイベントの直接転送のためのエージェントからのインバウンドトラフィック) をSyslogサーバに許可する必要があります。詳細については、ポート番号を参照してください。
お使いのSyslogサーバはインターネット経由でアクセス可能であり、そのドメイン名はグローバルにDNS解決可能でなければなりません。詳細については、Workload Security IPsを参照してください。

Syslog設定の定義 親トピック

Syslog設定は、システムまたはセキュリティイベントを転送する際に使用できる宛先と設定を定義します。2017年1月26日以前にSIEMまたはSyslog設定を構成した場合、それらはSyslog設定に変換され、同一の設定は統合されましたのでご注意ください。
  1. [ポリシー> 共通オブジェクト> その他> Syslog設定]に移動します。
  2. [新規 > 新規設定 > 一般]をクリックし、次の内容を指定してください。
    • [名前:] 設定を識別する一意の名前。
    • [説明] 設定のオプション説明。
    • ログ送信元ID: Workload Securityのホスト名の代わりに使用するオプションの識別子です。Workload Securityはマルチノードであり、各サーバノードは異なるホスト名を持っています。そのため、ログソースIDは異なる場合があります。ホスト名に関係なくIDを同じにする必要がある場合 (例えば、フィルタリング目的で)、ここで共有ログソースIDを設定できます。この設定は、常にホスト名をログソースIDとして使用するエージェントから直接送信されるイベントには適用されません。
    • [サーバ名:] 受信SyslogまたはSIEMサーバのホスト名またはIPアドレス。
    • [サーバポート:] SIEMまたはSyslogサーバのリスニングポート番号。UDPの場合、IANA標準ポート番号は514です。TLSの場合、通常はポート6514です。ポート番号も参照してください。
    • [トランスポート:] トランスポートプロトコルが安全であるか (TLS)、安全でないか (UDP)。UDPの場合、Syslogメッセージは64 KBに制限されます。メッセージが長い場合、データが切り捨てられる可能性があります。TLSの場合、マネージャとSyslogサーバはお互いの証明書を信頼する必要があります。マネージャからSyslogサーバへの接続はTLS 1.2、1.1、または1.0で暗号化されます。TLSでは[Agentによるログ転送方法][Workload Security Manager経由]に設定する必要があります (間接的に)。エージェントはTLSによる転送をサポートしていません。
    • [イベント形式:] ログメッセージの形式がLEEF、CEF、または基本Syslogであるかどうか。Syslogメッセージ形式を参照してください。LEEF形式では、[Agentによるログ転送方法][Workload Security Manager経由]に設定する必要があります (間接的に)。基本Syslog形式は、不正プログラム対策、Webレピュテーション、変更監視、およびアプリケーションコントロールモジュールではサポートされていません。
    • [イベントにタイムゾーンを含める:] イベントの日付に年とタイムゾーンを追加するかどうか。例 (選択時): 2018-09-14T01:02:17.123+04:00。例 (非選択時): Sep 14 01:02:17。完全な日付を使用するには、[Agentによるログ転送方法][Workload Security Manager経由](間接的に) に設定する必要があります。
    • [ファシリティ:] イベントが関連付けられるプロセスの種類。Syslogサーバーはログメッセージのファシリティフィールドに基づいて優先順位を付けたりフィルタリングしたりすることがあります。Syslogのファシリティとレベルも参照してください。
    • [Agentによるログ転送方法:] イベントを送信するかどうか [Syslogサーバに直接] または [Workload Security Manager経由](間接的に)。Syslogサーバにログを直接転送する場合、エージェントはクリアテキストのUDPを使用します。ログにはセキュリティシステムに関する機密情報が含まれています。インターネットなどの信頼できないネットワークを使用する場合は、偵察や改ざんを防ぐためにVPNトンネルなどを追加することを検討してください。
      Workload Security経由で転送するログには、ファイアウォールと侵入防御のパケットデータは含まれません。
      Macエージェントは、Workload Securityマネージャを介したログの転送のみをサポートしています。[Syslogサーバに直接]を選択した場合、ログにはデバイスコントロールデータが含まれません。
  3. SyslogまたはSIEMサーバがTLSクライアントにクライアント認証 (双方向または相互認証とも呼ばれる) を要求する場合、[資格情報]で次の設定を行います。
    • [秘密鍵:] Workload Securityクライアント証明書の秘密鍵を貼り付けてください。
    • [証明書:] Workload SecurityがSyslogサーバへのTLS接続で自身を識別するために使用するクライアント証明書を貼り付けてください。PEM、Base64エンコード形式としても知られる形式を使用してください。
    • [証明書チェーン:] 中間CAがクライアント証明書に署名したが、SyslogサーバがそのCAを知らず信頼していない場合、信頼されたルートCAとの関係を証明するCA証明書を貼り付けてください。各CA証明書の間にEnterキーを押してください。
  4. [適用] をクリックします。
  5. TLSトランスポートメカニズムを選択する場合、Workload SecurityとSyslogサーバの両方が接続でき、お互いの証明書を信頼できることを確認してください。
    1. [テスト接続]をクリックします。Workload Securityはホスト名を解決して接続を試みます。それが失敗した場合、エラーメッセージが表示されます。SyslogまたはSIEMサーバの証明書がまだWorkload Securityによって信頼されていない場合、接続は失敗し、[Accept Server Certificate?]メッセージが表示されます。このメッセージにはSyslogサーバの証明書の内容が表示されます。
    2. Syslogサーバの証明書が正しいことを確認します。
    3. [OK]をクリックして証明書を受け入れます。証明書は[管理 > システム設定 > セキュリティ]上のマネージャの信頼された証明書リストに表示されます。Workload Securityは自己署名証明書を受け入れることができます。
    4. [テスト接続]をもう一度クリックしてください。TLS接続が成功することを期待します。
  6. 続行するには、転送するイベントを選択します。システムイベントの転送またはセキュリティイベントの転送を参照してください。

システムイベントを転送する 親トピック

Workload Securityは、管理者ログインやAgentソフトウェアのアップグレードなどのシステムイベントを生成します。
  1. [管理][システム設定][イベント転送] の順に選択します。
  2. [設定を使用してリモートコンピュータにシステムイベントを転送する (Syslog経由)]から、既存の構成を選択するか、[新規]を選択します。詳細については、Syslog構成の定義を参照してください。
  3. [保存] をクリックします。

セキュリティイベントを転送する 親トピック

エージェント保護は、不正プログラムの検出やIPSルールのトリガーなどのセキュリティイベントを生成します。イベントは、Workload Securityを介して直接または間接的に転送することができます。いくつかのイベント転送オプションが必要です。他のポリシー設定と同様に、特定のポリシーやコンピュータに対してイベント転送設定をオーバーライドすることができます。ポリシー、継承、およびオーバーライドを参照してください。
  1. [ポリシー]に移動します。
  2. コンピュータで使用されているポリシーをダブルクリックします。
  3. [設定][イベント転送] に移動します。
  4. [イベント転送の頻度 (Agent/Applianceから)]の下で、[イベントの送信間隔]を使用してセキュリティイベントを転送する頻度を選択します。この設定は、IPSおよびファイアウォールのログ集約時間に関連し、詳細ログポリシー設定に依存します。
  5. [イベント転送設定 (Agent/Applianceから)]の下で、[不正プログラム対策のSyslog設定]および他の保護モジュールのリストを使用して、次のいずれかを選択してください。
    • 既存のSyslog設定は、[編集]をクリックして変更できます。
    • [なし]でSyslog設定を無効にします。
    • [新規]で新しいSyslog構成を作成します。詳細については、Syslog構成の定義を参照してください。
  6. [保存]をクリック

互換性 親トピック

Workload Securityは、次のエンタープライズ版でテストされています。
  • Splunk 6.5.1
  • IBM QRadar 7.2.8 Patch 3 (TLSプロトコルパッチのPROTOCOL-TLSSyslog-7.2-20170104125004.noarchを適用)
  • HP ArcSight 7.2.2 (ArcSight-7.2.2.7742.0-Connectorツールを使用して作成されたTLS Syslog-NGコネクタを使用)
他の標準のSyslogソフトウェアも動作する可能性がありますが、検証されていません。
Splunkを使用している場合は、Splunk向けDeep Securityアプリを使用して、ダッシュボードや保存された検索を利用できます。

イベント転送のトラブルシューティング 親トピック

Syslogメッセージの送信に失敗アラート

Syslog設定に問題がある場合は、次のアラートが表示されることがあります。
Failed to Send Syslog Message  
The Workload Security Manager was unable to forward messages to a Syslog Server.  
Unable to forward messages to a Syslog Server
アラートには影響を受けたSyslog設定へのリンクも含まれています。リンクをクリックして設定を開き、次に[テスト接続]をクリックして詳細な診断情報を取得します。接続が成功したことを示すか、原因に関する詳細なエラーメッセージを表示します。

Syslog設定を編集できません

Syslog設定を表示できるが編集できない場合、あなたのアカウントに関連付けられている役割が適切な権限を持っていない可能性があります。役割を設定できる管理者は、[管理][ユーザ管理]に移動してあなたの権限を確認できます。その後、あなたの名前を選択し、[プロパティ]をクリックします。[その他の権限]タブで、[Syslog設定]設定がSyslog設定を編集する能力を制御します。ユーザと役割に関する詳細は、ユーザの作成と管理(Identity and Account Management) を参照してください。

証明書が期限切れのためにSyslogが転送されない

有効な証明書は、TLS経由で安全に接続するために必要です。TLSクライアント認証を設定しても証明書の有効期限が切れた場合、メッセージはSyslogサーバに送信されません。この問題を修正するには、新しい証明書を取得し、Syslog設定を新しい証明書の値でアップデートし、接続をテストしてから設定を保存します。

サーバ証明書が期限切れであるか変更されたためにSyslogが配信されない

TLSを介して安全に接続するには、有効な証明書が必要です。Syslogサーバの証明書が期限切れまたは変更された場合は、Syslog構成を開いて[テスト接続]をクリックしてください。新しい証明書を受け入れるように求められます。

Syslog設定で無効な秘密鍵が生成されました

[TLSのクライアント資格情報]で無効な秘密鍵エラーが発生した場合、ほとんどの場合、Syslogの設定が必要なPRIVATE KEY (PKCS8) 形式ではなく、RSA PRIVATE KEY (PKCS1) 形式で秘密鍵の値を生成していることが原因です。
PKCS1キーをPKCS8に変換するには、次のコマンドを実行します。
openssl pkcs8 -topk8 -nocrypt -in privkey.pem
上記のコマンドで生成された秘密鍵を使用します。