目次

Workload Security イベントをSyslogまたはSIEMサーバに転送する

イベントは、外部のSyslogサーバまたはSecurity Information and Event Management(SIEM)サーバに送信できます。これは、集中監視およびカスタムレポートに役立ちます。

または、イベントをAmazon SNSに公開する場合は、 Amazon SNSでのイベントのアクセスを参照してください。

基本的な手順は次のとおりです。

  1. イベント転送ネットワークトラフィックを許可する
  2. Syslog設定の定義
  3. システムイベントの転送 または セキュリティイベントの転送

イベント転送ネットワークトラフィックを許可する

すべてのルータ、ファイアウォール、およびセキュリティグループで、Workload SecurityからSyslogサーバへの受信トラフィック (セキュリティイベントを直接転送する場合は、エージェントからの受信トラフィック) を許可する必要があります。詳細については、「ポート番号」を参照してください。

Syslogサーバはインターネット経由でアクセス可能で、ドメイン名はグローバルにDNS解決可能である必要があります。詳細については、「Workload Security IP」を参照してください。

Syslog設定の定義

Syslog設定では、システムイベントまたはセキュリティイベントの転送時に使用できる宛先と設定を定義します。 2017年1月26日より前にSIEMまたはSyslogを設定した場合は、Syslog設定に変換されています。同一の設定がマージされました。

  1. [ポリシー]→[共通オブジェクト]→[その他]→[Syslog設定] の順に選択します。

  2. [新規]→[新規設定]→[一般] の順にクリックし、次の項目を指定します。
    • 名前: 設定を識別する一意の名前。
    • 説明: 設定の説明 (オプション)。
    • ログ送信元ID: Workload Securityホスト名の代わりに使用するオプションの識別子。
      Workload Securityはマルチノードであり、サーバノードごとに異なるホスト名を使用します。したがって、ログソースIDは異なる場合があります。ホスト名に関係なくIDを同じにする必要がある場合 (フィルタ処理など)、ここで共有ログソースIDを設定できます。
      この設定は、Agentから直接送信されるイベントには適用されません。Agentは常にホスト名をログソースIDとして使用します。
    • サーバ名: 受信するSyslogサーバまたはSIEMサーバのホスト名またはIPアドレス。
    • サーバのポート: SIEMまたはSyslogサーバの待機ポート番号。 UDPの場合、IANAの標準ポート番号は514です。TLSの場合、通常はポート6514です。「ポート番号」も参照してください。
    • トランスポート: トランスポートプロトコルがセキュアか (TLS)、そうでないか (UDP)。
      UDPでは、Syslogメッセージは64KBに制限されます。メッセージが長い場合、データが切り捨てられることがあります。
      TLSを使用する場合、ManagerとSyslogサーバは互いの証明書を信頼する必要があります。 ManagerからSyslogサーバへの接続は、TLS 1.2、1.1、または1.0で暗号化されます。
      TLSを使用するには、[Agentによるログ転送方法][Workload Security Manager経由] (間接) に設定する必要があります。Agentは、TLSを使用した転送をサポートしていません。
    • イベント形式: ログメッセージの形式がLEEF、CEF、またはBasic Syslogのいずれであるか。 「 Syslogメッセージの形式」を参照してください。
      LEEF形式を使用するには、[Agentによるログ転送方法][Workload Security Manager経由] (間接) に設定する必要があります。
      Basic Syslog形式は、不正プログラム対策、 Webレピュテーション、変更変更監視、およびアプリケーションコントロールモジュールではサポートされていません。
    • イベントにタイムゾーンを含める: イベントの日付に年とタイムゾーンを追加するかどうかを指定します。
      例 (選択済み): 2018-09-14T01:02:17.123+04:00
      例 (選択解除): Sep 14 01:02:17
      完全な日付を使用するには、[Agentによるログ転送方法][Workload Security Manager経由] (間接) に設定する必要があります。
    • ファシリティ: イベントが関連付けられるプロセスのタイプ。 Syslogサーバは、ログメッセージのファシリティフィールドに基づいて優先順位を設定したり、フィルタを適用したりできます。 「 Syslogファシリティとレベルとは」も参照してください。
    • Agentによるログ転送方法: イベントを[Syslogサーバに直接] または [Workload Security Manager経由] (間接) で送信。
      ログをSyslogサーバに直接転送する場合、Agentは平文のUDPを使用します。ログには、セキュリティシステムに関する機密情報が含まれています。ログがインターネットなどの信頼できないネットワークを使用している場合は、偵察や改ざんを防ぐために、VPNトンネルなどを追加することを検討してください。
      • Workload Security経由で転送するログには、ファイアウォールと侵入防御のパケットデータは含まれません。
      • MacAgentは、 Workload Security Managerを介したログの転送のみをサポートします。 [ Syslogサーバに直接送信する] を選択した場合、ログにはデバイスコントロールデータは含まれません。

  3. SyslogまたはSIEMサーバでTLSクライアントがクライアント認証 (双方向または相互認証とも呼ばれます) を実行する必要がある場合は、[資格情報] で次のように設定します。
    • 秘密鍵: Workload Securityクライアント証明書の秘密鍵を貼り付けます。
    • 証明書: Workload SecurityがSyslogサーバへのTLS接続で自身を識別するために使用するクライアント証明書を貼り付けます。 Base64エンコード形式とも呼ばれるPEMを使用します。
    • 証明書チェーン:中間CAがクライアント証明書に署名したが、SyslogサーバがそのCAを認識せず、信頼していない場合は、信頼されたルートCAとの関係を証明するCA証明書を貼り付けます。各CA証明書の間でEnterキーを押します。
  4. [適用] をクリックします。

  5. TLS転送メカニズムを選択する場合は、 Workload SecurityとSyslogサーバの両方が接続し、相互の証明書を信頼できることを確認します。
    1. [接続テスト] をクリックします。
      Workload Securityは、ホスト名の解決と接続を試行します。これに失敗すると、エラーメッセージが表示されます。SyslogまたはSIEMサーバ証明書がWorkload Securityにまだ信頼されていない場合、接続は失敗し、「サーバ証明書を受け入れますか?」というメッセージが表示されます。メッセージには、Syslogサーバの証明書の内容が表示されます。
    2. Syslogサーバの証明書が正しいことを確認します。
    3. [OK] をクリックして証明書を受け入れます。 Managerの[管理]→[システム設定]→[セキュリティ] の信頼できる証明書のリストに証明書が表示されます。
      Workload Securityは、自己署名証明書を受け入れることができます。
    4. [接続テスト] を再度クリックします。
      TLS接続が成功します。
  6. 転送するイベントを選択して続行します。「システムイベントを転送する」または「セキュリティイベントを転送する」を参照してください。

システムイベントを転送する

Workload Securityは、管理者ログインやAgentソフトウェアのアップグレードなどのシステムイベントを生成します。

  1. [管理]→[システム設定]→[イベントの転送] の順に選択します。

  2. システムイベントを、設定を使用してリモートコンピュータ(Syslog経由)に転送する場合は、既存の設定を選択するか、 [新規]を選択します。詳細については、 Syslog設定の定義を参照してください。

  3. [Save] をクリックします。

セキュリティイベントを転送する

Agentによる保護では、不正プログラムの検出やIPSルールのトリガなどのセキュリティイベントが生成されます。 一部のイベントの転送オプション で必要なイベントは、Workload Securityを介して直接または間接的に転送できます。 他のポリシー設定と同様に、特定のポリシーまたはコンピュータのイベント転送設定をオーバーライドできます。 「ポリシー、継承、およびオーバーライド」を参照してください。

  1. [ポリシー] に移動します。

  2. コンピュータで使用されているポリシーをダブルクリックします。

  3. [設定]→[イベントの転送] の順に選択します。

  4. [イベント転送頻度 (Agent/Applianceから)] で、[イベントの送信間隔] を使用して、セキュリティイベントを転送する頻度を選択します。この設定は、IPSおよびファイアウォールのログ集約時間に関連し、詳細なログ記録ポリシーの設定によって異なります。

  5. [イベント転送設定 (Agent/Applianceから)] で、[不正プログラム対策のSyslog設定] およびその他の保護モジュールのリストを使用して、次のいずれかを選択します。

    • 編集をクリックして既存のSyslog設定を編集できます。
    • なし Syslog設定を無効にします。
    • [新規] をクリックして、新しいSyslog設定を作成します。詳細については、Syslog設定の定義を参照してください。
  6. [保存] をクリックします。

イベント転送のトラブルシューティング

Syslogメッセージの送信に失敗アラート

Syslog設定に問題がある場合は、次のアラートが表示されることがあります。

Failed to Send Syslog Message  
The Workload Security Manager was unable to forward messages to a Syslog Server.  
Unable to forward messages to a Syslog Server

アラートには、影響を受けるSyslog設定へのリンクも含まれます。リンクをクリックして設定を開き、[接続テスト] をクリックして詳細な診断情報を取得します。接続が成功したことを示すか、原因の詳細を示すエラーメッセージが表示されます。

Syslog設定を編集できません

Syslog設定は表示されても編集できない場合は、アカウントに関連付けられている役割に適切な権限がない可能性があります。役割を設定できる管理者は、[管理] → [ユーザ管理] に移動して、アカウントの権限を確認できます。次に、名前を選択して [プロパティ] をクリックします。 [その他の権限] タブの [Syslog設定] の設定によって、Syslog設定の編集が制御されます。ユーザと役割の詳細については、「ユーザの作成および管理」を参照してください。

証明書が期限切れのためにSyslogが転送されない

有効な証明書は、TLS経由で安全に接続するために必要です。TLSクライアント認証を設定しても証明書の有効期限が切れた場合、メッセージはSyslogサーバに送信されません。この問題を修正するには、新しい証明書を取得し、Syslog設定を新しい証明書の値でアップデートし、接続をテストしてから設定を保存します。

サーバ証明書が期限切れであるか変更されたためにSyslogが配信されない

有効な証明書は、TLS経由で安全に接続するために必要です。Syslogサーバの証明書が期限切れまたは変更されている場合は、Syslog設定を開き、[ 接続テストのテスト]をクリックします。新しい証明書を受け入れるように求められます。

Syslog設定で無効な秘密鍵が生成されました

[TLSのクライアント資格情報] で無効な秘密鍵エラーが発生した場合、Syslog設定で必要なPRIVATE KEY (PKCS8)ではなくRSA PRIVATE KEY (PKCS1) 形式で秘密鍵の値が生成されたことが原因である可能性があります。

PKCS1キーをPKCS8に変換するには、次のコマンドを実行します。

openssl pkcs8 -topk8 -nocrypt -in privkey.pem

上記のコマンドで生成された秘密鍵を使用します。

互換性

Workload Securityは、次のエンタープライズ版でテストされています。

  • Splunk 6.5.1
  • IBM QRadar 7.2.8 Patch 3 (TLSプロトコルパッチのPROTOCOL-TLSSyslog-7.2-20170104125004.noarchを適用)
  • HP ArcSight 7.2.2 (ArcSight-7.2.2.7742.0-Connectorツールを使用して作成されたTLS Syslog-NGコネクタを使用)

他の標準のSyslogソフトウェアも動作する可能性がありますが、検証されていません。

Splunkを使用している場合は、 Deep Security app for Splunkダッシュボードと保存された検索を取得します。