セキュリティログ監視

ログ検査を有効にするには、 Workload Securityライセンスが必要です。

セキュリティログ監視モジュールの概要については、「セキュリティログ監視によるログの分析」を参照してください。

ログ検査モジュールを有効にする

1. [ポリシー] に移動します。
2. セキュリティログ監視を有効にするポリシーをダブルクリックします。
3. [セキュリティログ監視]→[一般] の順にクリックします。
4. [セキュリティログ監視のステータス] で [オン] を選択します。
5. [保存] をクリックします。

推奨設定の検索を実行する

ルールは、要件に関連するセキュリティイベントを収集するように設定する必要があります。この機能が正しく設定されていないと、 Workload Security データベースに大量のログエントリが記録されて格納されると、そのイベントが発生する可能性があります。コンピュータで推奨設定の検索を実行して、どのルールを適用するのが適切か、推奨設定を取得します。

1. Computers に移動し、適切なコンピュータをダブルクリックします。
2. [セキュリティログ監視]→[一般] の順にクリックします。
3. の場合 セキュリティログ監視 Rule 推奨設定 （可能な場合）、 Workload Security が Yes または Noを選択することで検出ルールを実装する必要があるかどうかを判断できます。
4. [ 推奨設定 ] セクションで、[ 推奨設定の検索] をクリックします。トレンドマイクロによって記述された一部のログ検査ルールを正しく機能させるには、ローカル設定が必要です。これらのルールのいずれかをコンピュータに割り当てた場合、またはこれらのルールのいずれかが自動的に割り当てられた場合は、設定が必要であることを通知するアラートが表示されます。

推奨設定の検索の詳細については、「推奨設定の検索の管理と実行」を参照してください。

推奨されるセキュリティログ監視ルールを適用する

Workload Securityには、さまざまなオペレーティングシステムやアプリケーションに対応する事前定義ルールが多数用意されています。推奨設定の検索を実行するときに、Workload Securityで 推奨ルールを自動的に実装 を実行するか、次の手順でルールを手動で選択して割り当てるかを選択できます。

1. [ポリシー] に移動します。
2. 設定するポリシーをダブルクリックします。
3. [セキュリティログ監視]→[一般] の順にクリックします。

4. [ 割り当て済み セキュリティログ監視 ルール ]セクションに、ポリシーに有効なルールが表示されます。セキュリティログ監視ルールを追加または削除するには、[割り当て/割り当て解除] をクリックします。

   

5. 割り当てる、または割り当て解除するルールのチェックボックスをオンまたはオフにします。ログ検査ルールは、ルールを右クリックして[ プロパティ ]の順に選択してルールをローカルで編集するか、[ プロパティ（グローバル）] を選択してルールを使用している他のすべてのポリシーに変更を適用することで編集できます。詳細については、「セキュリティログ監視ルールの確認」を参照してください。

6. [OK] をクリックします。

Workload Securityには、多くの一般的なオペレーティングシステムやアプリケーション用のログ検査ルールが付属していますが、独自のカスタムルールを作成することもできます。カスタムルールを作成するには、基本ルールテンプレートを使用するか、新しいルールをXMLで記述します。カスタムルールの作成方法については、ポリシーで使用するログ検査ルールを定義する を参照してください。

セキュリティログ監視をテストする

以降のセキュリティログ監視設定の手順に進む前に、ルールが正常に動作しているかどうかをテストします。

1. セキュリティログ監視が有効になっていることを確認します。
2. コンピュータエディタまたはポリシーエディタで、[セキュリティログ監視]→[詳細] に移動します。 [Agent/Applianceイベントが次の重要度以上の場合に、イベントを記録してManagerに送信] を [低（3）] に変更し、[ 保存]をクリックします。

3. [ 一般 ]タブに移動し、[割り当て/割り当て解除]をクリックします。次の項目を検索して有効にします。

   • [1002792 - Default Rules Configuration] – これは他のすべてのセキュリティログ監視ルールを機能させるために必要なルールです。

   Windowsユーザの場合は、次を有効にします。

   • [1002795 - Microsoft Windows Events] – Windowsの監査機能がイベントを登録するたびに、イベントがログに記録されます。

   Linuxユーザの場合は、次を有効にします。

   • [1002831 - Unix - Syslog] – syslogに記録されたイベントが検査されます。

4. [OK]をクリックし、[ 保存]をクリックしてルールをポリシーに適用します。

5. 存在しないアカウントでサーバーへのログインを試みます。
6. [イベントとレポート]→[セキュリティログ監視イベント] に移動し、ログイン失敗が記録されていることを確認します。検出が記録されていれば、セキュリティログ監視モジュールは正常に動作しています。

セキュリティログ監視イベントの転送と保存を設定する

セキュリティログ監視ルールがトリガされると、イベントがログに記録されます。これらのイベントを表示するには、[イベントとレポート]→[セキュリティログ監視イベント] に移動するか、ポリシーエディタで [セキュリティログ監視]→[セキュリティログ監視イベント] に移動します。セキュリティログ監視イベントの使用に関する詳細については、「セキュリティログ監視イベント」を参照してください。

イベントの重大度に応じて、イベントをSyslogサーバに送信するか (Workload Securityイベントを外部SyslogまたはSIEMサーバに転送する を参照)、重大度のクリップ機能を使用してイベントをデータベースに保存するかを選択できます。

クリッピングの重大度には、次の2つの設定があります。

• 次の重大度レベル以上になると、AgentのイベントをSyslogに送信します。 この設定は、Syslogが有効な場合に、Syslogサーバに送信されるルールによってどのイベントが送信されるかを決定します。
• Agentイベントが次の重要度以上の場合に、イベントを記録してWorkload Securityに送信: この設定では、どのセキュリティログ監視イベントがデータベースに保持され、[セキュリティログ監視イベント] 画面に表示されるかを決定します。

重要度のクリッピングを設定するには、次の手順に従います。

1. [ポリシー] に移動します。
2. 設定するポリシーをダブルクリックします。
3. [セキュリティログ監視]→[詳細] の順にクリックします。
4. [Agent/Applianceイベントが次の重要度以上の場合に、イベントをSyslogに送信] で重要度を [低 (0)] から [重大 (15)] の範囲で選択します。
5. [Agent/Applianceイベントが次の重要度以上の場合に、イベントを記録してManagerに送信] で重要度を [低 (0)] から [重大 (15)] の範囲で選択します。
6. [保存] をクリックします。