メインコンテンツまでスキップ
Sumo Logic Japanese

Trend Micro Deep Security のログの収集

Trend Micro Deep Security のログを収集する詳細な手順。

コレクタとソースの設定

Deep Security のログを収集するには、以下が必要になります。

  1. 1 つのインストール済みコレクタ
  2. 1 つの Syslog ロース

Deep Security システム イベント ログ転送

Sumo Logic で使用する Deep Security システムの設定の詳細については、ホワイト ペーパー「Deep Security Integration with Sumo Logic (Deep Security の Sumo Logic との統合)」を参照してください。

Deep Security システム イベントを Sumo Logic に統合する手順

  1. Deep Security で、[Administration (管理)] > [System Settings (システム設定)] > [SIEM] に移動します。
  2. SIEM を設定します。

    1. Forward System Events to a remote computer (via Syslog) (リモート コンピュータへのシステム イベントの転送 (Syslog 経由))。このチェックボックスをオンにします。

    2. Hostname or IP address to which events should be sent (イベントの送信先となるホスト名または IP アドレス)。これは Sumo Logic のインストール済みコレクタのホスト名または IP アドレスです。

    3. UDP port to which events should be sent (イベントの送信先となる UDP ポート)。「514」と入力します。

    4. Syslog Facility (Syslog ファシリティ)。[Local 0 (ローカル 0)] を選択します。

    5. Syslog Format (Syslog フォーマット)。[Common Event Format (共通イベント フォーマット)] を選択します。

  3. 変更内容を保存します。

ポリシーの設定

次に、Syslog ソースをポリシー設定に追加する必要があります。次のように、上位 (ルート/ベース) ポリシーで統合の詳細を設定します。

  1. [Settings (設定)] > [SIEM] に移動します。
  2. [Anti-Malware Event Forwarding (マルウェア対策イベント転送)] で、[Forward Events To: (イベントの転送先:)][Relay via the Manager (マネージャ経由でリレー)] を選択します。

    1. Hostname or IP address to which events should be sent (イベントの送信先となるホスト名または IP アドレス)。これは Sumo Logic のインストール済みコレクタのホスト名または IP アドレスです。

    2. UDP port to which events should be sent (イベントの送信先となる UDP ポート)。514」と入力します。

    3. Syslog Facility (Syslog ファシリティ)。[Local 1 (ローカル 1)] を選択します。

    4. Syslog Format (Syslog フォーマット)。[Common Event Format (共通イベント フォーマット)] を選択します。

  3. [Web Reputation Event Forwarding (Web レピュテーション イベント転送)] で、[Forward Events To: (イベントの転送先:)][Relay via the Manager (マネージャ経由でリレー)] を選択します。

    1. Hostname or IP address to which events should be sent (イベントの送信先となるホスト名または IP アドレス)。これは Sumo Logic のインストール済みコレクタのホスト名または IP アドレスです。

    2. UDP port to which events should be sent (イベントの送信先となる UDP ポート)。  「514」と入力します。

    3. Syslog Facility (Syslog ファシリティ)。[Local 1 (ローカル 1)] を選択します。

    4. Syslog Format (Syslog フォーマット)。[Common Event Format (共通イベント フォーマット)] を選択します。

  4. [Save (保存)] をクリックします。

ログ メッセージのサンプル

<142>Oct 2 16:41:16 CEF:0|Trend Micro|Deep Security Agent|9.6.3177|21|Unsolicited UDP|5|cn1=34 cn1Label=Host ID dvchost=workstation_tsiley TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=Deny dmac=B0:B9:B9:F8:E7:8F smac=39:D2:AE:D6:1F:05 TrendMicroDsFrameType=IP src=130.202.140.130 dst=10.0.102.94 in=291 cs3= cs3Label=Fragmentation Bits proto=UDP spt=445 dpt=42 cnt=1

クエリのサンプル

妨げられたパケットの上位 5 件の理由

_sourceCategory=Trendmicro dst
| parse "CEF:0|*|*|*|*|*|*|*" as Device_Vendor,Device_Product,Device_Version,Signature_ID, Name, Severity, Extension
| where (signature_id >= 100 AND signature_id <= 199) OR signature_id = 20 OR signature_id = 21
| count Name
| top 5 Name by _count

  • この記事は役に立ちましたか?