Trend Micro Deep Security アプリケーションのクラウド ベース ログの収集
クラウド ベース — このページでは、Hosted Collector の Sumo クラウド Syslog Source を使用して Trend Micro Deep Security のログを収集する手順を紹介します。
このページでは、Hosted Collector の Sumo クラウド Syslog Source を使用して Trend Micro Deep Security のログを収集する手順を紹介します。
ステップ 1: Hosted Collector でクラウド Syslog Source を作成する
- 既存の Hosted Collector を選択するか、新しい Hosted Collector を作成します。
- Hosted Collector にクラウド Syslog Source を追加します。
- Source に名前を付けます。
- Source Category を入力します。
- [Enable Timestamp Parsing (タイムスタンプ parse の有効化)] をオフにします。
- [Save (保存)] をクリックします。
- クラウド Syslog Source トークンが生成されます。この情報を Deep Security 内の [Log Source Identifier (ログ Source 識別子)]、[Server Name (サーバ名)]、および [Server Port (サーバ ポート)] への入力として指定します。
ステップ 2: Trend Micro Deep Security で Sumo を Syslog サーバとして設定する
- Deep Security Manager コンソールで、[Policies (ポリシー)] > [Common Objects (共通オブジェクト)] を選択します。
- 左ペインの [Other (その他)] を展開します。
- [Syslog Configurations (Syslog 設定)] を選択します。
- [New (新規)] ボタンを選択して新しい設定を作成します。
- Log Source Identifier (ログ Source 識別子)。「Deep Security Manager」や「My Log Source」などの 3 語のラベルを入力し、その後に、上記のクラウド Syslog Source を設定したときに [Cloud Syslog Source Token (クラウド Syslog Source トークン)] ページの [Token (トークン)] フィールドに表示されていた値を次のように角括弧で囲んで入力します。
Deep Security Manager [token from Cloud Syslog source]
- Log Source Identifier (ログ Source 識別子)。「Deep Security Manager」や「My Log Source」などの 3 語のラベルを入力し、その後に、上記のクラウド Syslog Source を設定したときに [Cloud Syslog Source Token (クラウド Syslog Source トークン)] ページの [Token (トークン)] フィールドに表示されていた値を次のように角括弧で囲んで入力します。
- Server Name (サーバ名)。上記のクラウド Syslog Source を設定したときに [Cloud Syslog Source Token (クラウド Syslog Source トークン)] ページの [Host (ホスト)] フィールドに表示されていた値を入力します。
- Server Port (サーバ ポート)。 上記のクラウド Syslog Source を設定したときに [Cloud Syslog Source Token (クラウド Syslog Source トークン)] ページの [Port (ポート)] フィールドに表示されていた値を入力します。
- Transport (トランスポート)。[TLS] が選択されたままにします。
- [OK] をクリックします。
ステップ 3: システム イベントとセキュリティ イベントを Sumo Logic に転送する
- Deep Security Manager コンソールで、[Policies (ポリシー)] を選択します。
- イベントの転送に使用するポリシーをダブルクリックします。
- [Settings (設定)] > [Event Forwarding (イベントの転送)] に移動します。
- [Event Forwarding Frequency (from Agent/Appliance) ((エージェント/アプライアンスからの) イベント転送頻度)] に、イベントを Sumo Logic に転送する頻度を指定します。
- [Event Forwarding Configuration (from Agent/Appliance) ((エージェント/アプライアンスからの) イベント転送設定)] で、各保護モジュールで使用する Syslog 設定を次のオプションから選択します。
-
Inherited (configuration name) (継承 (設定名)): 親ポリシーまたはコンピュータから動作を継承します。
-
None (なし): イベントは転送されません。
-
Syslog (configuration name) (Syslog (設定名)): イベントは、指定された Syslog 設定に転送されます。設定の詳細を表示または編集するには、[Edit (編集)] をクリックします。[Agents should forward logs (エージェントは以下の方法でログを転送する)] が [Via the Deep Security Manager (Deep Security Manager 経由)] に設定されている必要があります。
-
New (新規): 新しい設定を定義できます (詳細については、「Syslog 設定の定義」を参照してください)。[Agents should forward logs (エージェントは以下の方法でログを転送する)] が [Via the Deep Security Manager (Deep Security Manager 経由)] に設定されている必要があります。
- [Save (保存)] をクリックします。
設定を確認する
システムイベントを送信して Sumo Logic との通信を確認します。5 ~ 10 分の遅延が発生する場合があります。