初期設定で、Vulnerability ProtectionDeep Security Managerでは、ハートビートごとにAgent/Applianceからイベントが収集されます。収集されるデータの量は、保護されているコンピュータの台数、コンピュータの使用状況、およびイベント記録の設定によって異なります。
Vulnerability ProtectionDeep Securityのシステムイベントは、[管理]→[システム設定]→[システムイベント] タブで確認および設定できます。個々のイベントを記録するかどうか、またSIEMシステムに転送するかどうかを設定できます。
各保護モジュールでは、ルールがトリガされるか、その他の設定の条件が満たされると、イベントが生成されます。セキュリティイベント生成に関する一部の設定は変更が可能です。
コンピュータで有効になっているファイアウォールステートフル設定を変更して、TCP、UDP、およびICMPのイベントログを有効または無効にできます。ステートフルファイアウォール設定のプロパティを編集するには、[ポリシー]→[共通オブジェクト]→[その他]→[ファイアウォールステートフル設定] に移動します。ログのオプションは、ファイアウォールステートフル設定の [プロパティ] 画面の [TCP]、[UDP]、[ICMP] の各タブにあります。
侵入防御モジュールでは、個々のルールのイベントログを無効にできます。ルールのイベントログを無効にするには、ルールの [プロパティ] 画面を開き、[侵入防御のプロパティ] タブの [イベント] 領域にある [イベントログの無効化] を選択します。
侵入防御モジュールでは、ルールがトリガする原因となったデータを記録できます。個々のルールがトリガするたびにすべてのデータを記録するのは現実的ではないので、Vulnerability ProtectionDeep Securityでは、一定時間内 (初期設定では5分) でルールが最初にトリガしたときのデータのみを記録します。このデータを記録するかどうかを設定するには、ポリシーまたはコンピュータエディタで [侵入防御]→[詳細]→[イベントデータ] に移動します。時間を設定するには、ポリシーまたはコンピュータエディタの [設定]→[ネットワークエンジン]→[ネットワークエンジンの詳細設定] で [1つのパケットデータのみをログに記録する期間] 設定を調整します。
セキュリティログ監視モジュールは、指定の重要度を超える条件が含まれるセキュリティログ監視ルールがトリガされた場合にのみイベントを記録するように設定できます。セキュリティログ監視イベントが記録される重要度を設定するには、ポリシーまたはコンピュータエディタの [セキュリティログ監視]→[詳細]→[重要度のクリッピング] に移動します。
イベント収集の効率性を最大限にするためのヒントを以下に示します。