セキュリティログ監視モジュールの概要については、セキュリティログ監視についてを参照してください。
ログインスペクションを有効にするには、ワークロードライセンスが必要です。
ログインスペクションを使用するには、次の手順を実行してください。
ログインスペクションモジュールを有効にする 
ポリシーでのセキュリティログ監視を有効にする。
手順
- [ポリシー] に移動します。
- ポリシーをダブルクリックします。
- を選択します。
- [セキュリティログ監視 State]のために[オン]を選択してください。
- [保存] をクリックします。
推奨設定の検索を実行する
コンピュータで推奨設定に関するルールを適用するために、推奨設定スキャンを実行してください。
推奨されるセキュリティログ監視ルールを適用する
Workload Securityには、多くのオペレーティングシステムやアプリケーションをカバーする多数の事前定義ルールが付属しています。推奨設定スキャンを実行すると、Workload Securityに推奨設定を自動的に実装させるか、手動でルールを選択して割り当てるかを選択できます。
Workload Securityには、多くの一般的なオペレーティングシステムやアプリケーション向けのセキュリティログ監視ルールが付属していますが、独自のカスタムルールを作成することもできます。カスタムルールを作成するには、基本ルールテンプレートを使用するか、新しいルールをXMLで記述することができます。カスタムルールの作成方法については、ポリシーで使用するセキュリティログ監視ルールの定義を参照してください。
セキュリティログ監視をテストする
セキュリティログ監視の設定を完了する前に、ルールが正しく機能しているかテストしてください。
手順
- セキュリティログ監視が有効になっていることを確認してください。
- コンピュータまたはポリシーエディタで、を選択します。
- [Store events at the Agent/Appliance for later retrieval by DSM when they equal or exceed the following severity level]を[Low (3)]に設定し、[保存]をクリックします。
- [一般]タブで、[割り当て/割り当て解除]をクリックします。
- [1002792 - Default Rules Configuration]を検索して有効にしてください。これは他のすべてのログインスペクションルールが機能するために必要です。
- プラットフォームのルールを有効にする:
- Windowsでは、Windowsの監査機能がイベントを登録するたびにイベントを記録するために[1002795 - Microsoft Windows Events]を有効にします。
- Linuxの場合、イベントのsyslogを検査するために[1002831 - Unix - Syslog]を有効にします。
- [OK] をクリックし、[保存] をクリックします。
- 存在しないアカウントでサーバにログインしようとしてください。セキュリティログ監視がこのアクションを防止するはずです。
- に移動し、ログイン失敗が記録されていることを確認します。検出が記録されていれば、セキュリティログ監視は正常に動作しています。
セキュリティログ監視イベントの転送と保存を設定する
イベントがセキュリティログ監視ルールをトリガーすると、Workload Securityはそのイベントを記録します。これらのセキュリティログ監視イベントは[イベント & レポート]および[ポリシーエディタ]で確認できます (セキュリティログ監視イベントを参照)。イベントの重要度に応じて、イベントをsyslogサーバに送信する (Workload Securityイベントを外部のsyslogまたはSIEMサーバに転送するを参照) か、重要度のクリッピング機能を使用してデータベースにイベントを保存することができます。
重要度のクリッピングを設定するには、次の手順に従います。
手順
- [ポリシー]に移動します。
- を選択します。
- [低 (0)]と[重大 (15)]の間で重大度を選択してください。この設定では、Syslogが有効な場合に、それらのルールによってトリガされるどのイベントがSyslogサーバに送信されるかを決定します。
- [低 (0)]と[重大 (15)]の間で重大度を選択してください。この設定は、データベースが保持し、[セキュリティログ監視 Events]ページに表示されるログインスペクションイベントを決定します。
- [保存] をクリックします。