ビュー:
ログインスペクションモジュールの概要については、ログインスペクションについてを参照してください。
注意
注意
ログ検査を有効にするには、ワークロードライセンスが必要です。
ログインスペクションを使用するには、次の手順に従ってください:

手順

  1. セキュリティログ監視モジュールをオンにする
  2. 推奨設定の検索を実行する
  3. 推奨されるセキュリティログ監視ルールを適用する
  4. セキュリティログ監視をテストする
  5. セキュリティログ監視イベントの転送と保存を設定する

セキュリティログ監視モジュールをオンにする 親トピック

ポリシーのログ検査を有効にする。

手順

  1. [ポリシー]に移動します。
  2. ポリシーをダブルクリックします。
  3. [Log Inspection ][ General]を選択します。
  4. [オン][セキュリティログ監視のステータス]に選択します。
  5. [保存] をクリックします。

推奨設定の検索を実行する 親トピック

コンピュータで推奨スキャンを実行して、適用するルールに関する推奨事項を確認してください。

推奨されるセキュリティログ監視ルールを適用する 親トピック

Server & Workload Protectionには、多くのオペレーティングシステムやアプリケーションをカバーする多数の事前定義されたルールが付属しています。推奨スキャンを実行すると、Server & Workload Protection推奨事項を自動的に実装するか、手動でルールを選択して割り当てるかを選択できます。
Server & Workload Protectionには多くの一般的なオペレーティングシステムやアプリケーション向けのログインスペクションルールが付属していますが、独自のカスタムルールを作成することもできます。カスタムルールを作成するには、基本ルールテンプレートを使用するか、新しいルールをXMLで記述することができます。カスタムルールの作成方法については、ポリシーで使用するログインスペクションルールの定義を参照してください。

セキュリティログ監視をテストする 親トピック

ログインスペクションの設定を完了する前に、ルールが正しく機能しているかテストしてください。

手順

  1. ログインスペクションが有効になっていることを確認してください
  2. コンピュータまたはポリシーエディタで、[ Log Inspection ][ Advanced]を選択します。
  3. [Agent/Applianceイベントが次の重要度以上の場合に、イベントを記録してDSMに送信][Low (3)]に設定し、[保存]をクリックします。
  4. [一般] タブで、[割り当て/割り当て解除] をクリックします。
  5. [1002792 - Default Rules Configuration]を検索して有効にします。これは他のすべてのログインスペクションルールが機能するために必要です。
  6. プラットフォームのルールを有効にする:
    • Windowsの場合、Windowsの監査機能がイベントを登録するたびにイベントを記録するには[1002795 - Microsoft Windows Events]を有効にします。
    • Linuxの場合、イベントのsyslogを検査するために[1002831 - Unix - Syslog]を有効にします。
  7. [OK]をクリックしてから[保存]をクリックします。
  8. 存在しないアカウントでサーバにログインしようとしてください。ログインスペクションはこの操作を防止する必要があります。
  9. [Events & Reports ][ Log Inspection Events]に移動して、ログイン失敗の記録を確認してください。検出の記録は、ログインスペクションが正しく機能していることを示しています。

セキュリティログ監視イベントの転送と保存を設定する 親トピック

イベントがインスペクションルールをトリガーすると、Server & Workload Protectionはイベントをログに記録します。これらのログインスペクションイベントは[Events & Reports ]および[Policy editor ]で表示できます (ログインスペクションイベントを参照)。イベントの重大度に応じて、イベントをsyslogサーバに送信するか (外部のsyslogまたはSIEMサーバにServer & Workload Protectionイベントを転送を参照)、重大度クリッピング機能を使用してデータベースにイベントを保存することができます。
重要度のクリッピングを設定するには、次の手順に従います。

手順

  1. [ポリシー]に移動し、ポリシーをダブルクリックします。
  2. [Log Inspection ][ Advanced]を選択します。
  3. [Agent/Applianceイベントが次の重要度以上の場合に、イベントをSyslogに送信]の重大度を[低 (0)][Critical (15)]の間で選択してください。
    この設定は、syslogが有効な場合に、これらのルールによってトリガーされたイベントのうちどれがsyslogサーバに送信されるかを決定します。
  4. [Agent/Applianceイベントが次の重要度以上の場合に、イベントを記録してDSMに送信]の重大度を[低 (0)][Critical (15)]の間で選択してください。
    この設定は、データベースが保持し、[セキュリティログ監視イベント]ページに表示されるログインスペクションイベントを決定します。
  5. [保存] をクリックします。