セキュリティログ監視
このページのトピック
Log Inspectionを有効にするには、Workload Securityライセンスが必要です。Log Inspectionモジュールの概要については、ログの分析 を参照してください。
セキュリティログ監視を使用するには、次の手順に従ってください。
セキュリティログ監視モジュールをオンにする
ポリシーでのセキュリティログ監視を有効にする:
- [ポリシー] に移動します。
- ポリシーをダブルクリックします。
- セキュリティログ監視 > 一般をクリックします。
- セキュリティログ監視の状態をオンに選択します。
- [保存] をクリックします。
推奨設定の検索を実行する
コンピュータで推奨設定の検索 を実行して、どのルールを適用するのが適切か、推奨設定を取得します。
推奨されるセキュリティログ監視ルールを適用する
Workload Securityには、多くのオペレーティングシステムやアプリケーションをカバーする多数の事前定義されたルールが付属しています。推奨設定スキャン を実行すると、Workload Securityが推奨設定を自動的に実装 するように選択するか、ルールを手動で選択して割り当てる ことができます。
Workload Securityには、多くの一般的なオペレーティングシステムおよびアプリケーション用のセキュリティログ監視ルールが付属していますが、独自のカスタムルールを作成することもできます。カスタムルールを作成するには、基本ルールテンプレートを使用するか、新しいルールをXMLで記述することができます。カスタムルールの作成方法については、ポリシーで使用するセキュリティログ監視ルールの定義 を参照してください。
セキュリティログ監視をテストする
セキュリティログ監視の設定を完了する前に、ルールが正しく機能しているかテストしてください:
- セキュリティログ監視が有効になっている ことを確認してください。
- コンピュータ または ポリシー エディタから、セキュリティログ監視 > 詳細 に移動します。
- Agent/Applianceイベントが次の重要度以上の場合に、イベントを記録してDSMに送信を低 (3)に設定して、保存をクリックします。
- 一般 タブで、割り当て/割り当て解除 をクリックします。
-
プラットフォームのルールを有効にする:
- Windowsの場合、1002795 - Microsoft Windows Eventsを検索して有効にし、Windowsの監査機能がイベントを登録するたびにイベントを記録します。
- Linuxの場合、イベントを検査するために1002831 - Unix - Syslogを検索して有効にします。
-
OK をクリックしてから 保存 をクリックします。
- 存在しないアカウントでサーバにログインしようとしてください。
- イベントとレポート > セキュリティログ監視イベント に移動して、ログイン試行失敗の記録を確認します。検出の記録は、セキュリティログ監視が正しく機能していることを示します。
セキュリティログ監視イベントの転送と保存を構成する
イベントがセキュリティログ監視ルールをトリガーすると、Workload Securityはイベントを記録します。これらのセキュリティログ監視イベントは、イベントとレポートおよびポリシーエディタで確認できます。セキュリティログ監視イベント を参照してください。イベントの重要度に応じて、イベントをsyslogサーバに送信する (Workload Securityイベントを外部のsyslogまたはSIEMサーバに転送する を参照) か、重要度のクリッピングを使用してデータベースにイベントを保存することができます。
重要度のクリッピングを設定するには、次の手順に従います。
- [ポリシー] に移動します。
- ポリシーをダブルクリックします。
- セキュリティログ監視 > 詳細をクリックします。
- Agent/Appliance イベントが次の重要度以上の場合に、イベントをSyslogに送信するために、低 (0) から 重大 (15) の間で重要度レベルを選択します。この設定は、Syslogが有効な場合に、これらのルールでトリガされたイベントのうち、どのイベントをSyslogサーバに送信するかを決定します。
- Agent/Appliance でイベントを記録してDSMに送信するための重要度レベルを 低 (0) から 重大 (15) の間で選択します。この設定は、どのセキュリティログ監視イベントをデータベースに保存して [セキュリティログ監視イベント] 画面に表示するかを決定します。
- [保存] をクリックします。