メインコンテンツまでスキップ
Sumo Logic Japanese

Trend Micro Deep Security アプリケーションのオンプレミス ログの収集

オンプレミス — このページでは、Trend Micro Deep Security アプリケーションのオンプレミス ログ収集を設定する手順を説明し、ログとクエリの例を示します。

このページでは、Trend Micro Deep Security アプリケーションのオンプレミス ログ収集を設定する手順を説明し、ログとクエリの例を示します。

Collector と Source の設定

Deep Security のログを収集するには、以下の手順を実行します。

  1. Installed Collector を設定します。
  2. Syslog Source を設定します。

Deep Security システム イベント ログ転送

Deep Security システム イベントを Sumo Logic に転送するには、以下の手順を実行します。
  1. Deep Security で、[Administration (管理)] > [System Settings (システム設定)] > [SIEM] に移動します。
  2. SIEM を設定します。

    1. Forward System Events to a remote computer (via Syslog) (リモート コンピュータへのシステム イベントの転送 (Syslog 経由))。このチェックボックスをオンにします。

    2. Hostname or IP address to which events should be sent (イベントの送信先となるホスト名または IP アドレス)。これは Sumo Logic の Installed Collector のホスト名または IP アドレスです。

    3. UDP port to which events should be sent (イベントの送信先となる UDP ポート)。「514」と入力します。

    4. Syslog Facility (Syslog ファシリティ)。[Local 0 (ローカル 0)] を選択します。

    5. Syslog Format (Syslog 形式)。[Common Event Format (共通イベント形式)] を選択します。

  3. 変更内容を保存します。

ポリシーの設定

次に、Syslog Source をポリシー設定に追加する必要があります。次のように、上位 (ルート/ベース) ポリシーで統合の詳細を設定します。

  1. [Settings (設定)] > [SIEM] に移動します。
  2. [Anti-Malware Event Forwarding (マルウェア対策イベント転送)] で、[Forward Events To: (イベントの転送先:)][Relay via the Manager (マネージャ経由でリレー)] を選択します。

    1. Hostname or IP address to which events should be sent (イベントの送信先となるホスト名または IP アドレス)。これは Sumo Logic の Installed Collector のホスト名または IP アドレスです。

    2. UDP port to which events should be sent (イベントの送信先となる UDP ポート)。514」と入力します。

    3. Syslog Facility (Syslog ファシリティ)。[Local 1 (ローカル 1)] を選択します。

    4. Syslog Format (Syslog 形式)。[Common Event Format (共通イベント形式)] を選択します。

  3. [Web Reputation Event Forwarding (Web レピュテーション イベント転送)] で、[Forward Events To: (イベントの転送先:)][Relay via the Manager (マネージャ経由でリレー)] を選択します。

    1. Hostname or IP address to which events should be sent (イベントの送信先となるホスト名または IP アドレス)。これは Sumo Logic の Installed Collector のホスト名または IP アドレスです。

    2. UDP port to which events should be sent (イベントの送信先となる UDP ポート)。  「514」と入力します。

    3. Syslog Facility (Syslog ファシリティ)。[Local 1 (ローカル 1)] を選択します。

    4. Syslog Format (Syslog 形式)。[Common Event Format (共通イベント形式)] を選択します。

  4. [Save (保存)] をクリックします。

ログ メッセージのサンプル

<142>Oct  2 16:41:16 CEF:0|Trend Micro|Deep Security Agent|9.6.3177|21|Unsolicited UDP|5|cn1=34 cn1Label=Host ID dvchost=workstation_tsiley TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=Deny dmac=B0:B9:B9:F8:E7:8F smac=39:D2:AE:D6:1F:05 TrendMicroDsFrameType=IP src=130.202.140.130 dst=10.0.102.94 in=291 cs3= cs3Label=Fragmentation Bits proto=UDP spt=445 dpt=42 cnt=1

クエリのサンプル

妨げられたパケットの上位 5 件の理由

_sourceCategory=Trendmicro dst
| parse "CEF:0|*|*|*|*|*|*|*" as Device_Vendor,Device_Product,Device_Version,Signature_ID, Name, Severity, Extension
| where (signature_id >= 100 AND signature_id <= 199) OR signature_id = 20 OR signature_id = 21
| count Name
| top 5 Name by _count

  • この記事は役に立ちましたか?