Workload Security イベントをSyslogまたはSIEMサーバに転送する

イベントは、外部のSyslogサーバまたはSecurity Information and Event Management(SIEM)サーバに送信できます。これは、集中監視およびカスタムレポートに役立ちます。

または、イベントをAmazon SNSに公開する場合は、 Amazon SNSでのイベントのアクセスを参照してください。

基本的な手順は次のとおりです。

  1. イベント転送ネットワークトラフィックを許可する
  2. Syslog設定の定義
  3. システムイベントの転送 または セキュリティイベントの転送

イベント転送ネットワークトラフィックを許可する

すべてのルータ、ファイアウォール、およびセキュリティグループでは、 Workload Security (およびセキュリティイベントの直接転送のために、エージェントからの受信トラフィック)からの受信トラフィックをSyslogサーバに送信する必要があります。「ポート番号」も参照してください。Syslogサーバはインターネット経由でアクセス可能で、ドメイン名はグローバルにDNSで解決可能である必要があります。 Deep Security as a Service IPsも参照してください。

Syslog設定の定義

Syslog設定では、システムイベントまたはセキュリティイベントの転送時に使用できる宛先と設定を定義します。

2017年1月26日より前にSIEMまたはSyslogの設定を行った場合、Syslog設定に変換されています。同じ設定がマージされました。

  1. [ Policies]→[Common Objects]→[Other]→[Syslog Configurations]の順に選択します。
  2. [新規]→[新規設定] の順にクリックします。
  3. [ 一般 ]タブで、次の項目を設定します。
    • 名前: 設定を識別する一意の名前。
    • 説明: 設定の説明 (オプション)。
    • ログのソースID: Workload Security ホスト名の代わりに使用するオプションの識別子。
      Workload Security はマルチノードで、各サーバノードのホスト名が異なります。したがって、ログソースIDは異なる場合があります。IDがホスト名に関係なく同じである必要がある場合(たとえば、フィルタ目的の), では、ここで共有ログソースIDを設定できます。
      この設定は、 Deep Security Agentによって直接送信されるイベントには適用されません。このイベントは、ログオン元IDとして常にホスト名が使用されます。
    • サーバ名: 受信SyslogサーバまたはSIEMサーバのホスト名またはIPアドレス。
    • サーバポート: SIEMまたはSyslogサーバ上のポート番号を待機します。UDPの場合、IANA標準のポート番号は514です。通常、UDPにはポート6514、「ポート番号」も参照してください。
    • トランスポート: トランスポートプロトコルが安全である(TLS)かどうか(UDP)。
      UDPの場合、Syslogメッセージは64 KBに制限されます。長いメッセージの場合は、データが切り捨てられることがあります。
      TLSの場合、マネージャとSyslogサーバはお互いの証明書を信頼する必要があります。ManagerからSyslogサーバへの接続は、TLS 1.2,1.1、または1.0で暗号化されます。

      TLSを設定するには、エージェントはログを転送する必要があります。 〜へDeep Security Managerを介して(間接的に)。エージェントはTLSでの転送をサポートしていません。

    • イベントの形式: ログメッセージの形式がLEEF、CEF、またはBasic Syslogのいずれであるか。 Syslogメッセージの形式を参照してください。

      LEEF形式を使用するには、エージェントはログを転送する必要があります。 〜へDeep Security Managerを介して(間接的に)。

      基本的なSyslog形式は、 Deep Security 不正プログラム対策, Webレピュテーション, 変更監視、および アプリケーションコントロールではサポートされていません。

    • イベントにタイムゾーンを含めます。 イベントに完全な日付(年と時間帯を含む)を追加するかどうかを指定します。
      例(選択された): 2018-09-14T01:02:17.123 + 04:00。
      例(選択解除された): Sep 14 01:02:17。

      完全な日付を設定するには、エージェントはログを転送する必要があります。 〜へDeep Security Managerを介して(間接的に)。

    • ファシリティ: イベントが関連付けられるプロセスのタイプ。Syslogサーバは、ログメッセージの機能フィールドに基づいて優先順位を付けたり、フィルタを適用したりできます。関連項目 Syslogの機能とレベルとは
    • エージェントはログを転送する必要があります。イベントを送信するかどうかSyslogサーバに直接接続するまたはDeep Security Managerを介して(間接的に)。 ログをSyslogサーバに直接転送する場合、クライアントはクリアテキストUDPを使用します。ログには、セキュリティシステムに関する機密情報が含まれています。インターネットなどの信頼されていないネットワークを介してログを送信する場合は、VPNトンネルなどを追加して偵察や改ざんを防止することを検討してください。

      マネージャ(Workload Security ), )からログを転送する場合、 ファイアウォール および 侵入防御 パケットデータは含まれません。

  4. TLSクライアントでクライアント認証を実行する必要がある場合は(SyslogサーバまたはSIEMサーバでBMPEFGHとも呼ばれます)、[ Credentials ]タブで次の項目を設定します。
    • 秘密鍵: Deep Security Managerのクライアント証明書の秘密鍵を貼り付けます。
    • 証明書: Deep Security ManagerがSyslogサーバへのTLS接続で自身を識別するために使用する クライアントの 証明書を貼り付けます。Base64エンコード形式とも呼ばれるPEMを使用します。
    • 証明書チェーン: 中間CAがクライアント証明書に署名したが、SyslogサーバがそのCAを認識して信頼しない場合は、CA証明書を貼り付けて証明書を信頼するルートCAに関連付けます。各CA証明書の間にEnterキーを押します。
  5. [Apply] をクリックします。
  6. TLS転送メカニズムを選択した場合は、 Deep Security ManagerとSyslogサーバの両方が互いの証明書に接続して信頼できることを確認します。
    a. [ テスト接続]をクリックします。
    Workload Security は、ホスト名を解決して接続しようとします。失敗した場合は、エラーメッセージが表示されます。
    Workload SecurityによってSyslogまたはSIEMサーバ証明書がまだ信頼されていない場合、接続は失敗し、 サーバ証明書を許可しますか? メッセージが表示されます。このメッセージには、Syslogサーバの証明書の内容が表示されます。
    b. Syslogサーバの証明書が正しいことを確認してから、[ OK ]をクリックして認証を受け入れます。
    証明書は、 の[Administration]→[System Settings]→[Security]で、管理者の信頼された証明書のリストに追加されます。Workload Security では、自己署名証明書を使用できます。
    c. [ 接続のテスト] をもう一度クリックします。
    今すぐTLS接続が成功する必要があります。
  7. 続行するには、転送するイベントを選択します。 システムイベントの転送 または セキュリティイベントの転送を参照してください。

システムイベントを転送する

Workload Security は、システムイベント(管理者ログインやエージェントソフトウェアのバージョンアップなど)を生成します。

  1. [管理]→[システム設定]→[イベントの転送] に進みます。
  2. システムイベントを、設定を使用してリモートコンピュータ(Syslog経由)に転送する場合は、既存の設定を選択するか、 [新規]を選択します。詳細については、 Syslog設定の定義を参照してください。
  3. [Save] をクリックします。

Deep Security Managerがマルチノードである場合、システムイベントは1つのノードからのみ送信され、重複が回避されます。

セキュリティイベントを転送する

Deep Security Agentの保護機能は、セキュリティイベント(不正プログラムの検出やIPSルールの起動など)を生成します。次のいずれかのイベントを転送できます。

  • 直接
  • 間接的、 Workload Security

一部のイベント転送オプション では、 Workload Securityを使用して間接的にエージェントイベントを転送する必要があります。

他のポリシー設定と同様に、特定のポリシーまたはコンピュータのイベント転送設定を無効にすることもできます。「ポリシー、継承、およびオーバーライド」を参照してください。

  1. [ポリシー] に移動します。
  2. コンピュータで使用されているポリシーをダブルクリックします。
  3. Settings を選択し、[ Event Forwarding ]タブを選択します。
  4. From Eventの送信間隔、イベントの転送間隔を選択します。
  5. 不正プログラム対策 Syslog設定 およびその他の保護モジュールのドロップダウンメニューから、使用するSyslog設定を選択するか、 Edit をクリックして変更するか、 なし を選択して無効にするか、または[ New]をクリックします。詳細については、 Syslog設定の定義を参照してください。
  6. [保存] をクリックします。

イベント転送のトラブルシューティング

「Syslogメッセージの送信に失敗」アラート

Syslog設定に問題がある場合は、次のアラートが表示されることがあります。

Failed to Send Syslog Message  
The Deep Security Manager was unable to forward messages to a Syslog Server.  
Unable to forward messages to a Syslog Server

アラートには、影響を受けたSyslog設定へのリンクも含まれています。リンクをクリックして設定を開き、[ Test Connection ]をクリックして詳細な診断情報を取得します。接続が成功したことを示すか、原因に関する詳細が記載されたエラーメッセージが表示されます。

Syslog設定を編集できません

Syslog設定は表示されますが編集できない場合、アカウントに関連付けられている役割に適切な権限がない可能性があります。役割を設定できる管理者は、[ 管理]→[ユーザ管理]の順に選択して権限を確認できます。ユーザ名を選択して [プロパティ] をクリックします。 [その他の権利] タブで、 Syslog Configurations 設定でSyslog設定の編集権限が制御されます。ユーザと役割の詳細については、「ユーザの作成と管理」を参照してください。

証明書が期限切れのためにSyslogが転送されない

有効な証明書は、TLS経由で安全に接続するために必要です。TLSクライアント認証を設定しても証明書の有効期限が切れた場合、メッセージはSyslogサーバに送信されません。この問題を修正するには、新しい証明書を取得し、Syslog設定を新しい証明書の値でアップデートし、接続をテストしてから設定を保存します。

サーバ証明書が期限切れであるか変更されたためにSyslogが配信されない

有効な証明書は、TLS経由で安全に接続するために必要です。Syslogサーバの証明書が期限切れまたは変更されている場合は、Syslog設定を開き、[ 接続テストのテスト]をクリックします。新しい証明書を受け入れるように求められます。

互換性

Deep Securityは次のエンタープライズ版でテスト済みです。

  • Splunk 6.5.1
  • IBM QRadar 7.2.8 Patch 3 (TLSプロトコルパッチのPROTOCOL-TLSSyslog-7.2-20170104125004.noarchを適用)
  • HP ArcSight 7.2.2 (ArcSight-7.2.2.7742.0-Connectorツールを使用して作成されたTLS Syslog-NGコネクタを使用)

他の標準のSyslogソフトウェアも動作する可能性がありますが、検証されていません。

Splunkを使用している場合は、 Deep Security app for Splunkダッシュボードと保存された検索を取得します。