このページのトピック
セキュリティログ監視
ログ検査を使用するには、次のセクションの手順を実行します。
セキュリティログ監視を有効にするには、Workload Securityのライセンスが必要です。
セキュリティログ監視モジュールの概要については、「セキュリティログ監視によるログの分析」を参照してください。
セキュリティログ監視モジュールをオンにする
- [ポリシー] に移動します。
- セキュリティログ監視を有効にするポリシーをダブルクリックします。
- [セキュリティログ監視]→[一般] の順にクリックします。
- [セキュリティログ監視のステータス] で [オン] を選択します。
- [保存] をクリックします。
推奨設定の検索を実行する
ルールは、要件に関連するセキュリティイベントを収集するように設定する必要があります。この機能が正しく設定されていないと、 Workload Security データベースに大量のログエントリが記録されて格納されると、そのイベントが発生する可能性があります。コンピュータで推奨設定の検索を実行して、どのルールを適用するのが適切か、推奨設定を取得します。
- Computers に移動し、適切なコンピュータをダブルクリックします。
- [セキュリティログ監視]→[一般] の順にクリックします。
- の場合 セキュリティログ監視 Rule 推奨設定 (可能な場合)、 Workload Security が Yes または Noを選択することで検出ルールを実装する必要があるかどうかを判断できます。
- [ 推奨設定 ]セクションで、[ Scan for 推奨設定]をクリックします。トレンドマイクロが提供する一部のセキュリティログ監視ルールは、正常に機能するため、ローカルでの設定を必要とします。このようなルールをコンピュータに割り当てるか、ルールが自動的に割り当てられると、設定が必要であることを通知するアラートが発令されます。
推奨設定の検索の詳細については、「推奨設定の検索の管理と実行」を参照してください。
推奨されるセキュリティログ監視ルールを適用する
Workload Security には、さまざまなOSおよびアプリケーションに対応する多くの事前定義ルールが付属しています。推奨検索を実行すると、 Workload Securityで推奨ルールが自動的に実装されるように選択することも、次の手順に従って手動でルールを選択して割り当てることもできます。
- [ポリシー] に移動します。
- 設定するポリシーをダブルクリックします。
- [セキュリティログ監視]→[一般] の順にクリックします。
-
[ 割り当て済み セキュリティログ監視 ルール ]セクションに、ポリシーに有効なルールが表示されます。セキュリティログ監視ルールを追加または削除するには、[割り当て/割り当て解除] をクリックします。
-
割り当てる、または割り当て解除するルールのチェックボックスをオンまたはオフにします。ログ検査ルールは、ルールを右クリックして[ プロパティ ]の順に選択してルールをローカルで編集するか、[ プロパティ(グローバル)] を選択してルールを使用している他のすべてのポリシーに変更を適用することで編集できます。詳細については、「セキュリティログ監視ルールの確認」を参照してください。
- [OK] をクリックします。
Workload Security には、多くの一般的なOSおよびアプリケーションに対するログ検査ルールが付属していますが、独自のカスタムルールを作成することもできます。カスタムルールを作成する場合は、「基本ルール」テンプレートを使用するか、または新しいルールをXMLで記述できます。カスタムルールの作成方法については、「ポリシーで使用するセキュリティログ監視ルールの定義」を参照してください。
セキュリティログ監視をテストする
以降のセキュリティログ監視設定の手順に進む前に、ルールが正常に動作しているかどうかをテストします。
- セキュリティログ監視が有効になっていることを確認します。
- コンピュータエディタまたはポリシーエディタで、[セキュリティログ監視]→[詳細] に移動します。 [Agent/Applianceイベントが次の重要度以上の場合に、イベントを記録してManagerに送信] を [低(3)] に変更し、[ 保存]をクリックします。
-
[ 一般 ]タブに移動し、[ 割り当て/割り当て解除]をクリックします。次の項目を検索して有効にします。
- [1002792 - Default Rules Configuration] – これは他のすべてのセキュリティログ監視ルールを機能させるために必要なルールです。
Windowsユーザの場合は次の項目を有効にします。
- [1002795 - Microsoft Windows Events] – Windowsの監査機能がイベントを登録するたびに、イベントがログに記録されます。
Linuxユーザの場合は次の項目を有効にします。
- [1002831 - Unix - Syslog] – syslogに記録されたイベントが検査されます。
-
[OK]をクリックし、[ 保存]をクリックしてルールをポリシーに適用します。
- 存在しないアカウントでサーバーへのログインを試みます。
- [イベントとレポート]→[セキュリティログ監視イベント] に移動し、ログイン失敗が記録されていることを確認します。検出が記録されていれば、セキュリティログ監視モジュールは正常に動作しています。
セキュリティログ監視イベントの転送と保存を設定する
セキュリティログ監視ルールがトリガされると、イベントがログに記録されます。これらのイベントを表示するには、[イベントとレポート]→[セキュリティログ監視イベント] に移動するか、ポリシーエディタで [セキュリティログ監視]→[セキュリティログ監視イベント] に移動します。セキュリティログ監視イベントの使用に関する詳細については、「セキュリティログ監視イベント」を参照してください。
イベントの重大度に応じて、それらのイベントをSyslogサーバに送信するかどうかを選択できます(この機能の有効化の詳細については、 Workload Security イベントの外部SyslogまたはSIEMサーバへの転送を参照してください)。重大度クリッピング機能を使用します。
「重要度のクリッピング」では次の2つを設定できます。
- 次の重大度レベル以上になると、AgentのイベントをSyslogに送信します。 この設定は、Syslogが有効な場合に、Syslogサーバに送信されるルールによってどのイベントが送信されるかを決定します。
- 次の重大度レベル以上になると、 Workload Security で後で取得するためにイベントをエージェントに保存します。 この設定は、データベースに保存され、 セキュリティログ監視 イベント ページに表示される セキュリティログ監視 イベントを決定します。 。
重要度のクリッピングを設定するには、次の手順に従います。
- [ポリシー] に移動します。
- 設定するポリシーをダブルクリックします。
- [セキュリティログ監視]→[詳細] の順にクリックします。
- [Agent/Applianceイベントが次の重要度以上の場合に、イベントをSyslogに送信] で重要度を [低 (0)] から [重大 (15)] の範囲で選択します。
- [Agent/Applianceイベントが次の重要度以上の場合に、イベントを記録してManagerに送信] で重要度を [低 (0)] から [重大 (15)] の範囲で選択します。
- [保存] をクリックします。