イベントは、外部のSyslogサーバまたはSecurity Information and Event Management(SIEM)サーバに送信できます。これは、集中監視およびカスタムレポートに役立ちます。
また、Amazon SNSにイベントを公開したい場合は、Amazon SNSでイベントにアクセスするを参照してください。
基本的な手順は次のとおりです。

手順

  1. イベント転送ネットワークトラフィックを許可
  2. Syslog構成を定義する
  3. システムイベントを転送 または セキュリティイベントを転送

イベント転送ネットワークトラフィックを許可する 親トピック

すべてのルーター、ファイアウォール、およびセキュリティグループは、Workload Securityからのインバウンドトラフィック (およびセキュリティイベントの直接転送のためのエージェントからのインバウンドトラフィック) をSyslogサーバに許可する必要があります。詳細については、ポート番号を参照してください。
お使いのSyslogサーバはインターネット経由でアクセス可能であり、そのドメイン名はグローバルにDNS解決可能でなければなりません。詳細については、Workload Security IPsを参照してください。

Syslog設定の定義 親トピック

Syslog設定では、システムイベントまたはセキュリティイベントの転送時に使用できる宛先と設定を定義します。 2017年1月26日より前にSIEMまたはSyslogを設定した場合は、Syslog設定に変換されています。同一の設定がマージされました。
  1. ポリシー > 共通オブジェクト > その他 > Syslog設定]に移動します。
  2. [新規 ]> [新しい構成 ]> [一般]をクリックし、次の内容を指定してください:
    • 名前: 設定を識別する一意の名前。
    • 説明: 設定の説明 (オプション)。
    • ログ送信元ID: Workload Securityホスト名の代わりに使用するオプションの識別子。Workload Securityはマルチノードであり、サーバノードごとに異なるホスト名を使用します。したがって、ログソースIDは異なる場合があります。ホスト名に関係なくIDを同じにする必要がある場合 (フィルタ処理など)、ここで共有ログソースIDを設定できます。この設定は、Agentから直接送信されるイベントには適用されません。Agentは常にホスト名をログソースIDとして使用します。
    • サーバ名: 受信するSyslogサーバまたはSIEMサーバのホスト名またはIPアドレス。
    • サーバのポート: SIEMまたはSyslogサーバの待機ポート番号。 UDPの場合、IANAの標準ポート番号は514です。TLSの場合、通常はポート6514です。ポート番号も参照してください。
    • トランスポート: トランスポートプロトコルがセキュアか (TLS)、そうでないか (UDP)。 UDPでは、Syslogメッセージは64KBに制限されます。メッセージが長い場合、データが切り捨てられることがあります。 TLSを使用する場合、ManagerとSyslogサーバは互いの証明書を信頼する必要があります。 ManagerからSyslogサーバへの接続は、TLS 1.2、1.1、または1.0で暗号化されます。 TLSを使用するには、[Agentによるログ転送方法][Workload Security Manager経由] (間接) に設定する必要があります。Agentは、TLSを使用した転送をサポートしていません。
    • イベント形式: ログメッセージの形式がLEEF、CEF、またはBasic Syslogのいずれであるか。 Syslogメッセージの形式を参照してください。 LEEF形式を使用するには、[Agentによるログ転送方法][Workload Security Manager経由] (間接) に設定する必要があります。 Basic Syslog形式は、不正プログラム対策、Webレピュテーション、変更監視、およびアプリケーションコントロールモジュールではサポートされていません。
    • イベントにタイムゾーンを含める: イベントの日付に年とタイムゾーンを追加するかどうかを指定します。例 (選択済み): 2018-09-14T01:02:17.123+04:00 例 (選択解除): Sep 14 01:02:17 完全な日付を使用するには、[Agentによるログ転送方法][Workload Security Manager経由] (間接) に設定する必要があります。
    • ファシリティ:イベントが関連付けられるプロセスの種類。Syslogサーバーは、ログメッセージのファシリティフィールドに基づいて優先順位を付けたりフィルタリングしたりすることがあります。Syslogのファシリティとレベルも参照してください。
    • Agentによるログ転送方法: イベントを[Syslogサーバに直接] または [Workload Security Manager経由] (間接) で送信。ログをSyslogサーバに直接転送する場合、Agentは平文のUDPを使用します。ログには、セキュリティシステムに関する機密情報が含まれています。ログがインターネットなどの信頼できないネットワークを使用している場合は、偵察や改ざんを防ぐために、VPNトンネルなどを追加することを検討してください。
      注意
      注意
      • Workload Security経由で転送するログには、ファイアウォールと侵入防御のパケットデータは含まれません。
      • MacAgentは、 Workload Security Managerを介したログの転送のみをサポートします。 [ Syslogサーバに直接送信する] を選択した場合、ログにはデバイスコントロールデータは含まれません。
  3. SyslogまたはSIEMサーバでTLSクライアントがクライアント認証 (双方向または相互認証とも呼ばれます) を実行する必要がある場合は、[資格情報] で次のように設定します。
    • 秘密鍵: Workload Securityクライアント証明書の秘密鍵を貼り付けます。
    • 証明書: Workload SecurityがSyslogサーバへのTLS接続で自身を識別するために使用するクライアント証明書を貼り付けます。 Base64エンコード形式とも呼ばれるPEMを使用します。
    • 証明書チェーン:中間CAがクライアント証明書に署名したが、SyslogサーバがそのCAを認識せず、信頼していない場合は、信頼されたルートCAとの関係を証明するCA証明書を貼り付けます。各CA証明書の間でEnterキーを押します。
  4. 適用]をクリックします。
  5. TLSトランスポートメカニズムを選択する場合、Workload SecurityとSyslogサーバの両方が接続でき、お互いの証明書を信頼できることを確認してください。
    1. [接続テスト] をクリックします。Workload Securityは、ホスト名の解決と接続を試行します。これに失敗すると、エラーメッセージが表示されます。SyslogまたはSIEMサーバ証明書がWorkload Securityにまだ信頼されていない場合、接続は失敗し、[サーバ証明書を受け入れますか?]というメッセージが表示されます。メッセージには、Syslogサーバの証明書の内容が表示されます。
    2. Syslogサーバの証明書が正しいことを確認します。
    3. 証明書を受け入れるには[OK]をクリックしてください。証明書は[管理 > システム設定 > セキュリティ]の管理者の信頼された証明書のリストに表示されます。Workload Securityは自己署名証明書を受け入れることができます。
    4. [接続テスト] を再度クリックします。TLS接続が成功します。
  6. 続行するには、転送するイベントを選択します。システムイベントの転送またはセキュリティイベントの転送を参照してください。

システムイベントを転送する 親トピック

Workload Securityは、管理者ログインやAgentソフトウェアのアップグレードなどのシステムイベントを生成します。

手順

  1. [管理][システム設定][イベント転送] の順に選択します。
  2. [システムイベントを]設定を使用してリモートコンピュータ (Syslog経由) に転送する場合は、既存の設定を選択するか、[新規]を選択します。詳細については、Syslog設定の定義を参照してください。
  3. [保存]をクリックします。

セキュリティイベントを転送する 親トピック

エージェント保護は、不正プログラムの検出やIPSルールのトリガーなどのセキュリティイベントを生成します。イベントは、Workload Securityを介して直接または間接的に転送することができます。いくつかのイベント転送オプションが必要です。他のポリシー設定と同様に、特定のポリシーやコンピュータに対してイベント転送設定をオーバーライドすることができます。ポリシー、継承、およびオーバーライドを参照してください。

手順

  1. [ポリシー]に移動します。
  2. コンピュータで使用されているポリシーをダブルクリックします。
  3. [設定][イベント転送] に移動します。
  4. [イベント転送頻度 (Agent/Applianceから)] で、[イベントの送信間隔] を使用して、セキュリティイベントを転送する頻度を選択します。この設定は、IPSおよびファイアウォールのログ集約時間に関連し、詳細なログ記録ポリシーの設定によって異なります。
  5. [イベント転送設定 (Agent/Applianceから)] で、[不正プログラム対策のSyslog設定] およびその他の保護モジュールのリストを使用して、次のいずれかを選択します。
    • [編集]をクリックして既存のSyslog設定を編集できます。
    • [なし] Syslog設定を無効にします。
    • [新規] をクリックして、新しいSyslog設定を作成します。詳細については、Syslog設定の定義を参照してください。
  6. [保存]をクリックします

イベント転送のトラブルシューティング 親トピック

Syslogメッセージの送信に失敗アラート 親トピック

Syslog設定に問題がある場合は、次のアラートが表示されることがあります。
Failed to Send Syslog Message  
The Workload Security Manager was unable to forward messages to a Syslog Server.  
Unable to forward messages to a Syslog Server
アラートには、影響を受けるSyslog設定へのリンクも含まれます。リンクをクリックして設定を開き、[接続テスト] をクリックして詳細な診断情報を取得します。接続が成功したことを示すか、原因の詳細を示すエラーメッセージが表示されます。

Syslog設定を編集できません 親トピック

Syslog設定は表示されても編集できない場合は、アカウントに関連付けられている役割に適切な権限がない可能性があります。役割を設定できる管理者は、[管理][ユーザ管理] に移動して、アカウントの権限を確認できます。次に、名前を選択して [プロパティ] をクリックします。[その他の権限] タブの [Syslog設定] の設定によって、Syslog設定の編集が制御されます。ユーザと役割の詳細については、ユーザの作成および管理(Identity and Account Management) を参照してください。

証明書が期限切れのためにSyslogが転送されない 親トピック

有効な証明書は、TLS経由で安全に接続するために必要です。TLSクライアント認証を設定しても証明書の有効期限が切れた場合、メッセージはSyslogサーバに送信されません。この問題を修正するには、新しい証明書を取得し、Syslog設定を新しい証明書の値でアップデートし、接続をテストしてから設定を保存します。

サーバ証明書が期限切れであるか変更されたためにSyslogが配信されない 親トピック

有効な証明書は、TLS経由で安全に接続するために必要です。Syslogサーバの証明書が期限切れまたは変更されている場合は、Syslog設定を開き、[接続テスト] をクリックします。新しい証明書を受け入れるように求められます。

Syslog設定で無効な秘密鍵が生成されました 親トピック

[TLSのクライアント資格情報] で無効な秘密鍵エラーが発生した場合、Syslog設定で必要なPRIVATE KEY (PKCS8) ではなくRSA PRIVATE KEY (PKCS1) 形式で秘密鍵の値が生成されたことが原因である可能性があります。
PKCS1キーをPKCS8に変換するには、次のコマンドを実行します。
openssl pkcs8 -topk8 -nocrypt -in privkey.pem
上記のコマンドで生成された秘密鍵を使用します。

互換性 親トピック

Workload Securityは、次のエンタープライズ版でテストされています。
  • Splunk 6.5.1
  • IBM QRadar 7.2.8 Patch 3 (TLSプロトコルパッチのPROTOCOL-TLSSyslog-7.2-20170104125004.noarchを適用)
  • HP ArcSight 7.2.2 (ArcSight-7.2.2.7742.0-Connectorツールを使用して作成されたTLS Syslog-NGコネクタを使用)
他の標準のSyslogソフトウェアも動作する可能性がありますが、検証されていません。
Splunkを使用している場合は、Splunk向けDeep Securityアプリを使用して、ダッシュボードや保存された検索を利用できます。