セキュリティログ監視モジュールの概要については、セキュリティログ監視についてを参照してください。
 |
注意セキュリティログ監視を有効にするには、Workload Securityのライセンスが必要です。
|
セキュリティログ監視を使用するには、これらの手順に従ってください。
手順
セキュリティログ監視モジュールをオンにする 
ポリシーでのセキュリティログ監視を有効にする。
手順
- [ポリシー] に移動します。
- ポリシーをダブルクリックします。
- を選択します。
- [オン]を選択して[セキュリティログ監視の状態]を設定します。
- [保存] をクリックします。
推奨設定の検索を実行する
コンピュータで推奨設定に関するルールを適用するために、推奨設定スキャンを実行してください。
推奨されるセキュリティログ監視ルールを適用する
Workload Securityには、多くのオペレーティングシステムやアプリケーションをカバーする多数の事前定義ルールが付属しています。推奨設定スキャンを実行すると、Workload Securityに推奨設定を自動的に実装させるか、手動でルールを選択して割り当てるかを選択できます。
Workload Securityには、多くの一般的なオペレーティングシステムやアプリケーション向けのセキュリティログ監視ルールが付属していますが、独自のカスタムルールを作成することもできます。カスタムルールを作成するには、基本ルールテンプレートを使用するか、新しいルールをXMLで記述することができます。カスタムルールの作成方法については、ポリシーで使用するセキュリティログ監視ルールの定義を参照してください。
セキュリティログ監視をテストする
セキュリティログ監視の設定を完了する前に、ルールが正しく機能しているかテストしてください。
手順
- セキュリティログ監視が有効になっていることを確認してください。
- コンピュータまたはポリシーエディタで、を選択します。
- [Agent/Applianceイベントが次の重要度以上の場合に、イベントを記録してDSMに送信]を[低 (3)]に設定し、[保存]をクリックします。
- [一般] タブで、[割り当て/割り当て解除] をクリックします。
- [1002792 - Default Rules Configuration] を検索して有効にします。これは他のすべてのセキュリティログ監視ルールを機能させるために必要です。
- プラットフォームのルールを有効にする:
- Windowsの場合、[1002795 - Microsoft Windows Events] を有効にして、Windowsの監査機能がイベントを登録するたびにイベントをログに記録します。
- Linuxの場合、[1002831 - Unix - Syslog]を有効にして、イベントのためにsyslogを検査します。
- [OK] をクリックし、[保存] をクリックします。
- 存在しないアカウントでサーバにログインしようとしてください。セキュリティログ監視がこのアクションを防止するはずです。
- に移動し、ログイン失敗が記録されていることを確認します。検出が記録されていれば、セキュリティログ監視は正常に動作しています。
セキュリティログ監視イベントの転送と保存を設定する
イベントがセキュリティログ監視ルールをトリガーすると、Workload Securityはそのイベントを記録します。これらのセキュリティログ監視イベントは[イベント & レポート]および[ポリシーエディタ]で確認できます (セキュリティログ監視イベントを参照)。イベントの重要度に応じて、イベントをsyslogサーバに送信する (Workload Securityイベントを外部のsyslogまたはSIEMサーバに転送するを参照) か、重要度のクリッピング機能を使用してデータベースにイベントを保存することができます。
重要度のクリッピングを設定するには、次の手順に従います。
手順
- [ポリシー]に移動します。
- を選択します。
- [低 (0)]と[重大 (15)]の間で重大度を選択してください。この設定では、Syslogが有効な場合に、それらのルールによってトリガされるどのイベントがSyslogサーバに送信されるかを決定します。
- [低 (0)]と[重大 (15)]の間で重大度を選択してください。この設定は、どのセキュリティログ監視イベントがデータベースに保存され、[セキュリティログ監視イベント] 画面に表示されるかを決定します。
- [保存] をクリックします。