ログとイベントの保存に関するベストプラクティス

イベントデータストレージのベストプラクティスは、PCIやHIPAAなど、満たす必要があるデータコンプライアンス規制に基づいています。Workload Securityでは、32〜39日間のセキュリティイベントと13〜17週間のシステムイベントが保持されます(データベースのメンテナンス予定日時に応じて).

考慮すべき手順:

  1. セキュリティイベントを外部ストレージに転送します。「外部のSyslogサーバまたはSIEMサーバへのイベントの転送」を参照してください。

  2. セキュリティログ監視モジュールで、イベントの保存と転送に関するしきい値を設定します。[重要度のクリッピング] を使用すると、セキュリティログ監視ルールの重要度レベルに基づいて、イベントをSyslogサーバ (有効な場合) に送信、またはイベントを保存できます。詳細については、「イベントの保存と転送に関するしきい値」を参照してください。

ログファイルのサイズを制限する

個々のログファイルの最大サイズ、および保持される最新ファイルの数を指定できます。イベントログファイルは、最大許容サイズに達するまで書き込まれ、最大サイズに達すると新しいファイルが作成され、そのファイルが最大サイズに達するまで書き込まれます。最大ファイル数に達すると、最も古いファイルが削除され、その後、新しいファイルが作成されます。通常、イベントログエントリのサイズは平均約200バイトであるため、4MBのログファイルには約20,000ログエントリが保持されます。ログファイルがどのぐらいの期間でいっぱいになるかは、実行されるルールの数によって異なります。

  1. 設定するポリシーのコンピュータエディタまたはポリシーエディタを開きます。
  2. [設定]→[詳細]→[イベント] の順に選択します。
  3. 次のプロパティを設定します。

    • イベントログファイルの最大サイズ (Agent/Appliance):ログファイルの最大サイズです。このサイズに達すると、新しいファイルが作成されます。
    • 保管するイベントログファイル数 (Agent/Appliance):保持されるログファイルの最大数です。ログファイルの最大数に達すると、最も古いファイルが削除され、その後、新しいファイルが作成されます。
    • 次の送信元IPのイベントは記録しない:このオプションは、Workload Securityがレコードイベントを作成しないようにする場合に便利です。特定の信頼されたコンピュータからのトラフィック。
      集約されたイベントは、次の3つの設定で調整します。ディスク領域を節約するために、Deep Security Agentは同じイベントが複数発生し、それらを1つのエントリに集約し、「繰り返し回数」、「最初の発生」のタイムスタンプ、および「最後の発生」のタイムスタンプを追加します。イベントエントリを集約するには、Deep Security Agentがメモリ内のエントリをキャッシュしてディスクに書き込む必要があります。
    • キャッシュサイズ: 指定された時間にいくつのイベントの種類を追跡するか決定します。値を10に設定すると、繰り返し回数、初出現、最終出現のタイムスタンプを付けた、10種類のイベントを追跡することになります。新規のイベントの種類が発生すると、最も古い10のイベントは集約され、キャッシュから消去されてディスクに書き込まれます。
    • キャッシュの寿命: ディスクへ書き込まれる前に、どれだけの期間キャッシュに保存するかを決定します。値が10分に設定され、記録をフラッシュする状況が発生しなければ、10分を経過した記録はディスクへ書き込まれます。
    • キャッシュの有効期間: 最近更新されていない繰り返し回数のレコードをどのくらいの期間保持しておくかを決定します。キャッシュの寿命が10分で有効期間が2分の場合、更新されずに2分経過したイベントのレコードはディスクへ書き込まれ、キャッシュから消去されます。
      上記の設定に関係なく、キャッシュは、イベントがWorkload Securityに送信されるたびにフラッシュされます。
  4. [Save] をクリックします。

イベントログのヒント

  • 重要度が低いコンピュータのログ収集量を変更します。これは、 イベント]タブの ネットワークエンジンの詳細オプション および Advanced Network Engine Options 領域で実行できます。
  • [ファイアウォールステートフル設定] のログオプションを無効にして、ファイアウォールルール処理のイベントログを削減することを検討します(たとえば、UDPログを無効にすると、未承諾UDPのログエントリが除外されます)。
  • 侵入防御ルールの場合、破棄されたパケットのみをログに記録することをお勧めします。パケットの変更をログに記録すると、ログエントリが多くなりすぎることがあります。
  • 侵入防御ルールの場合、特定の攻撃の挙動に関する調査が必要なときのみパケットデータを含めます (侵入防御ルールの [プロパティ] 画面のオプション)。すべてのパケットデータを含めることは、ログサイズが大きくなるので推奨されません。