ビュー:
イベントは、外部のSyslogサーバまたはSecurity Information and Event Management (SIEM) サーバに送信できます。これは、集中監視やカスタムレポート作成に役立ちます。
ヒント
ヒント
または、Amazon SNSにイベントを発行する場合は、「 Amazon SNSでイベントにアクセスする
基本的な手順は次のとおりです。

手順

  1. イベント転送ネットワークトラフィックを許可する
  2. Syslog設定の定義
  3. システムイベントの転送および/またはセキュリティイベントの転送

イベント転送ネットワークトラフィックを許可する 親トピック

すべてのルータ、ファイアウォール、およびセキュリティグループで、 Server & Workload Protection からSyslogサーバへの受信トラフィック (セキュリティイベントを直接転送する場合はエージェントからの受信トラフィック) を許可する必要があります。こちらもご覧くださいサーバおよびWorkload Protectionのポート番号。 Syslogサーバはインターネット経由でアクセス可能である必要があり、そのドメイン名はグローバルにDNS解決可能である必要があります。

Syslog設定の定義 親トピック

Syslog設定では、システムイベントまたはセキュリティイベントを転送するときに使用できる送信先と設定を定義します。
2017年1月26日より前に設定したSIEMまたはSyslog設定は、Syslog設定に変換されています。同一の設定がマージされました。

手順

  1. に移動[Policies] [共通オブジェクト] [その他] [Syslog設定]
  2. クリック[新規] [新規構成]
  3. [一般] タブで、次の設定を行います。
    • [名前:] 設定を識別する一意の名前。
    • [説明:] 設定のオプションの説明。
    • [ログ送信元ID]: Server & Workload Protection ホスト名の代わりに使用するオプションの識別子。 Server & Workload Protection はマルチノードであり、各サーバノードのホスト名が異なります。したがって、ログソースIDは異なる場合があります。ホスト名に関係なくIDを同じにする必要がある場合 (フィルタ処理など)、ここで共有ログソースIDを設定できます。この設定は、エージェントから直接送信されるイベントには適用されません。エージェントは常にホスト名をログソースIDとして使用します。
    • [サーバ名:] 受信側のSyslogまたはSIEMサーバのホスト名またはIPアドレス。
    • [サーバポート:] SIEMまたはSyslogサーバの待機ポート番号。 UDPの場合、IANAの標準ポート番号は514です。TLSの場合、通常はポート6514です。サーバおよびWorkload Protectionのポート番号
    • [トランスポート:] トランスポートプロトコルがセキュアか (TLS)、そうでないか (UDP)。 UDPでは、Syslogメッセージは64KBに制限されます。メッセージが長い場合、データが切り捨てられることがあります。 TLSを使用する場合、ManagerとSyslogサーバは互いの証明書を信頼する必要があります。 ManagerからSyslogサーバへの接続は、TLS 1.2、1.1、または1.0で暗号化されます。
      注意
      注意
      TLSでは、 [Agentによるログ転送方法][Workload Security Manager経由] に (間接的に) 設定する必要があります。エージェントは、TLSを使用した転送をサポートしていません。
    • Event Format: Whether the log message's format is LEEF, CEF, or basic Syslog. See Syslog message formats.
      注意
      注意
      • LEEF形式では、 [Agentによるログ転送方法][Workload Security Manager経由] に (間接的に) 設定する必要があります。
      • Basic Syslog形式は、不正プログラム対策、Webレピュテーション、変更監視、およびアプリケーションコントロールモジュールではサポートされていません。
    • [イベントにタイムゾーンを含める:] イベントに完全な日付 (年とタイムゾーンを含む) を追加するかどうか。例 (選択済み): 2018-09-14T01:02:17.123+04:00例 (選択解除): Sep 14 01:02:17
      注意
      注意
      完全な日付では、 [Agentによるログ転送方法][Workload Security Manager経由] に (間接的に) 設定する必要があります。
    • [ファシリティ:] イベントが関連付けられるプロセスのタイプ。 Syslogサーバは、ログメッセージのファシリティフィールドに基づいて優先順位を設定したり、フィルタを適用したりできます。こちらもご覧くださいSyslogファシリティとレベルとは
    • [Agentによるログ転送方法:] イベントを [Syslogサーバに直接] または [Workload Security Manager経由] (間接) に送信するかどうか。ログをSyslogサーバに直接転送する場合、エージェントはクリアテキストUDPを使用します。ログには、セキュリティシステムに関する機密情報が含まれています。ログがインターネットなどの信頼できないネットワークを経由する場合は、VPNトンネルなどを追加して、偵察や改ざんを防止することを検討してください。
      注意
      注意
      • Server & Workload Protectionを介してログを転送する場合、ファイアウォールと侵入防御のパケットデータはログに含まれません。
      • Macエージェントは、 Workload Security Managerを介したログの転送のみをサポートします。 [Syslogサーバに直接]を選択した場合、ログにはデバイスコントロールデータは含まれません。
  4. SyslogサーバまたはSIEMサーバでTLSクライアントによるクライアント認証 (双方向または相互認証とも呼ばれます) が必要な場合は、 [認証情報] タブで次のように設定します。
    • [秘密鍵:] Server & Workload Protection クライアント証明書の秘密鍵を貼り付けます。
    • [証明書: ] SyslogサーバへのTLS接続で Server & Workload Protection が自身を識別するために使用する [クライアント] 証明書を貼り付けます。 Base64エンコード形式とも呼ばれるPEMを使用します。
    • [証明書チェーン:] 中間CAがクライアント証明書に署名したが、SyslogサーバがそのCAを認識せず、信頼していない場合は、信頼されたルートCAとの関係を証明するCA証明書を貼り付けます。各CA証明書の間でEnterキーを押します。
  5. [適用]をクリックします。
  6. TLS転送メカニズムを選択した場合は、 Server & Workload Protection とSyslogサーバの両方が接続し、互いの証明書を信頼できることを確認します。 a. [テスト接続]をクリックします。 Server & Workload Protection はホスト名の解決と接続を試みます。これに失敗すると、エラーメッセージが表示されます。 SyslogまたはSIEMサーバ証明書が Server & Workload Protectionによってまだ信頼されていない場合、接続は失敗し、 [サーバ証明書を受け入れますか?] メッセージが表示されます。メッセージには、Syslogサーバの証明書の内容が表示されます。 b. Syslogサーバの証明書が正しいことを確認し、 [OK] をクリックして受け入れます。 Managerの信頼できる証明書のリストに証明書が追加されました。[管理] [システム設定] [セキュリティ]Server & Workload Protection は自己署名証明書を受け入れることができます。 c. [テスト接続] を再度クリックします。これで、TLS接続が成功するはずです。
  7. 転送するイベントを選択して続行します。システムイベントの転送および/またはセキュリティイベントの転送を参照。

システムイベントの転送 親トピック

Server & Workload Protection は、システムイベント (管理者ログインやエージェントソフトウェアのアップグレードなど) を生成します。

手順

  1. に移動[管理] [システム設定] [イベントの転送]
  2. [設定を使用してリモートコンピュータにシステムイベントを転送する (Syslog経由)]で、既存の設定を選択するか、 [新規]を選択します。詳細については、 Syslog設定の定義
  3. [保存]をクリックします。

セキュリティイベントの転送 親トピック

エージェント保護機能では、不正プログラムの検出やIPSルールのトリガーなどのセキュリティイベントが生成されます。イベントは次のいずれかで転送できます。
  • 直接
  • 間接的に、 Server & Workload Protection経由
一部のイベント転送オプションServer & Workload Protectionを介して間接的に転送エージェントイベントが必要です。
他のポリシー設定と同様に、特定のポリシーまたはコンピュータのイベント転送設定を上書きできます。参照ポリシー、継承、およびオーバーライド

手順

  1. [Policies]に移動します。
  2. コンピュータで使用されているポリシーをダブルクリックします。
  3. [設定] を選択し、 [イベントの転送] タブを選択します。
  4. [イベントの送信間隔]で、イベントを転送する頻度を選択します。
  5. [不正プログラム対策のSyslog設定] およびその他の保護モジュールのドロップダウンメニューから、使用するSyslog設定を選択し、 [編集] をクリックして設定を変更するか、 [なし] を選択して無効にするか、 [新規]をクリックします。詳細については、 Syslog設定の定義
  6. [保存します。]をクリックします。

イベント転送のトラブルシューティング 親トピック

「Syslogメッセージの送信に失敗」アラート 親トピック

Syslog設定に問題がある場合は、次のアラートが表示されることがあります。
Failed to Send Syslog Message The Server & Workload Protection Manager was unable to forward messages to a Syslog Server. Unable to forward messages to a Syslog ServerServer & Workload Protection Manager was unable to forward messages to a Syslog Server.  
Unable to forward messages to a Syslog Server
アラートには、影響を受けるSyslog設定へのリンクも含まれます。リンクをクリックして設定を開き、 [テスト接続] をクリックして詳細な診断情報を取得します。接続が成功したことを示すか、原因の詳細を示すエラーメッセージが表示されます。

Syslog設定を編集できません 親トピック

Syslog設定は表示されても編集できない場合は、アカウントに関連付けられている役割に適切な権限がない可能性があります。役割を設定できる管理者は、[管理] [ユーザ管理] 。次に、名前を選択して [プロパティ]をクリックします。 [その他の権限] タブの [Syslog設定] 設定で、Syslog 設定の編集機能を制御します。

証明書が期限切れのためにSyslogが転送されない 親トピック

TLS経由で安全に接続するには、有効な証明書が必要です。 TLSクライアント認証を設定しており、証明書の有効期限が切れている場合、メッセージはSyslogサーバに送信されません。この問題を解決するには、新しい証明書を取得し、Syslog設定を新しい証明書の値でアップデートし、接続をテストしてから設定を保存します。

サーバ証明書が期限切れであるか変更されたためにSyslogが配信されない 親トピック

TLS経由で安全に接続するには、有効な証明書が必要です。 Syslogサーバの証明書の有効期限が切れているか変更されている場合は、Syslog設定を開き、 [テスト接続]をクリックします。新しい証明書を受け入れるように求められます。

互換性 親トピック

Server & Workload Protection は、次のエンタープライズバージョンでテストされています。
  • Splunk 6.5.1
  • IBM QRadar 7.2.8 Patch 3 (TLSプロトコルパッチのPROTOCOL-TLSSyslog-7.2-20170104125004.noarchを適用)
  • HP ArcSight 7.2.2 (ArcSight-7.2.2.7742.0-Connectorツールを使用して作成されたTLS Syslog-NGコネクタを使用)
他の標準Syslogソフトウェアも動作する可能性はありますが、検証されていません。
ヒント
ヒント
Splunkを使用している場合は、 Splunk用Deep Securityアプリをクリックして、ダッシュボードと保存された検索条件を取得します。