ビュー:
ログ検査を使用するには、次のセクションの手順を実行します。
注意
注意
ログ検査を有効にするには、ワークロードライセンスが必要です。
ログ検査モジュールの概要については、を参照してください。ログの分析

セキュリティログ監視モジュールをオンにする 親トピック

手順

  1. [Policies]に移動します。
  2. セキュリティログ監視を有効にするポリシーをダブルクリックします。
  3. クリック[セキュリティログ監視] [一般]
  4. [セキュリティログ監視のステータス]で、 [オン]を選択します。
  5. [保存]をクリックします。

次に進む前に

推奨設定の検索を実行する 親トピック

要件に関連するセキュリティイベントを収集するようにルールを設定する必要があります。この機能の設定が不適切な場合、トリガされて保存されるログエントリが多すぎると、 Server & Workload Protection データベースが処理しきれなくなる可能性があります。コンピュータで推奨設定の検索を実行して、適用するのに適切なルールに関する推奨設定を探します。

手順

  1. [コンピュータ] に移動し、適切なコンピュータをダブルクリックします。
  2. クリック[セキュリティログ監視] [一般]
  3. [セキュリティログ監視ルールの推奨設定を自動的に実装する (可能な場合)]の場合は、検索したルールを Server & Workload Protection で実装するかどうかを、 [はい] または [いいえ]を選択することで決定できます。
  4. [推奨設定] セクションで、 [推奨設定の検索]をクリックします。トレンドマイクロによって記述された一部のログインスペクションルールを正しく機能させるには、ローカル設定が必要です。これらのルールのいずれかをコンピュータに割り当てた場合、またはこれらのルールのいずれかが自動的に割り当てられた場合は、設定が必要であることを通知するアラートが生成されます。

次に進む前に

推奨設定の検索の詳細については、を参照してください。推奨設定の検索の管理と実行

推奨されるセキュリティログ監視ルールを適用する 親トピック

Server & Workload Protectionには、さまざまなオペレーティング システムとアプリケーションをカバーする多くの事前定義されたルールが付属しています。推奨スキャンを実行するときに、次のことを選択できます。 Server & Workload Protection推奨ルールを自動的に実装するまたは、以下の手順に従ってルールを手動で選択して割り当てることもできます。

手順

  1. [Policies]に移動します。
  2. 設定するポリシーをダブルクリックします。
  3. クリック[セキュリティログ監視] [一般]
  4. [現在割り当てられているセキュリティログ監視ルール] セクションに、ポリシーに対して有効なルールが表示されます。ログインスペクションルールを追加または削除するには、 [割り当て/割り当て解除]をクリックします。
    2016-07-07-000119-ds.png
  5. 割り当てまたは割り当て解除するルールのチェックボックスをオンまたはオフにします。ログインスペクションルールを編集するには、ルールを右クリックし、 [プロパティ] を選択してルールをローカルで編集するか、 [プロパティ (グローバル)] を選択してルールを使用している他のすべてのポリシーに変更を適用します。詳細については、 ログインスペクションルールの調査
  6. [OK]をクリックします。

次に進む前に

Server & Workload Protection には、多くの一般的なオペレーティングシステムおよびアプリケーション用のログインスペクションルールが付属していますが、独自のカスタムルールを作成することもできます。カスタムルールを作成するには、「ベーシックルール」テンプレートを使用するか、新しいルールをXMLで記述します。カスタムルールの作成方法については、「ポリシーで使用するログインスペクションルールを定義する

セキュリティログ監視をテストする 親トピック

以降のセキュリティログ監視設定の手順に進む前に、ルールが正常に動作しているかどうかをテストします。

手順

  1. セキュリティログ監視が有効になっていることを確認します。
  2. に移動[コンピュータエディタまたはポリシーエディタ] [セキュリティログ監視] [詳細][Agent/Applianceイベントが次の重要度以上の場合に、イベントを記録してDSMに送信][低 (3)] に変更し、 [保存]をクリックします。
  3. [一般] タブに移動し、 [割り当て/割り当て解除]をクリックします。次を検索して有効にします。
    • [1002792 - デフォルトのルール設定] – 他のすべてのセキュリティログインスペクションルールを機能させるために必要です。
    Windowsユーザの場合は次の項目を有効にします。
    • [1002795 - Microsoft Windowsのイベント] – Windowsの監査機能でイベントが登録されるたびにイベントをログに記録します。
    Linuxユーザの場合は次の項目を有効にします。
    • [1002831 - UNIX - Syslog] - Syslogのイベントを検査します。
  4. [OK]をクリックし、次に [保存] をクリックしてルールをポリシーに適用します。
  5. 存在しないアカウントでサーバーへのログインを試みます。
  6. に移動[イベントとレポート] [セキュリティログ監視イベント]失敗したログイン試行の記録を確認します。検出が記録された場合、セキュリティログ監視モジュールは正常に動作しています。

次に進む前に

セキュリティログ監視イベントの転送と保存を設定する 親トピック

ログインスペクションルールがトリガーされると、イベントがログに記録されます。これらのイベントを表示するには、[イベントとレポート] [セキュリティログ監視イベント]または[ポリシーエディタ] [セキュリティログ監視] [セキュリティログ監視イベント] 。ログ検査イベントの操作の詳細については、を参照してください。検査イベントをログに記録する
イベントの重大度に応じて、Syslogサーバにイベントを送信するように選択できます (この機能を有効にする方法については、「 Server & Workload Protection イベントを外部SyslogサーバまたはSIEMサーバに転送する.) または、重大度クリップ機能を使用してイベントをデータベースに保存します。
「重要度のクリッピング」では次の2つを設定できます。
  • [Agent/Applianceイベントが次の重要度以上の場合に、イベントをSyslogに送信:] この設定は、Syslogが有効な場合に、これらのルールによってトリガされたどのイベントをSyslogサーバに送信するかを決定します。
  • [イベントが次の重大度以上の場合に、後でWorkload Securityで取得できるようにAgentにイベントを保存します。] この設定では、データベースに保持され、 [セキュリティログ監視イベント] ページに表示されるセキュリティログ監視イベントを指定します。
重要度のクリッピングを設定するには、次の手順に従います。

手順

  1. [Policies]に移動します。
  2. 設定するポリシーをダブルクリックします。
  3. クリック[セキュリティログ監視] [詳細]
  4. [Agent/Applianceイベントが次の重要度以上の場合に、イベントをSyslogに送信]には、 [低 (0)][クリティカル (15)]のいずれかの重大度を選択します。
  5. [Agent/Applianceイベントが次の重要度以上の場合に、イベントを記録してDSMに送信]には、 [低 (0)][クリティカル (15)]のいずれかの重大度を選択します。
  6. [保存]をクリックします。

次に進む前に