セキュリティログ監視イベント

Vulnerability ProtectionDeep Security Managerでは、ハートビートごとにVulnerability ProtectionDeep Security Agentからセキュリティログ監視イベントが収集されます。ログのデータを使用して、Vulnerability ProtectionDeep Security Managerの各種レポート、グラフ、およびチャートが作成されます。

イベントログは、Vulnerability ProtectionDeep Security Managerによって収集された後、[管理]→[システム設定]→[ストレージ] で設定された一定の期間保持されます。初期設定値は1週間です。

メイン画面から、次のことを実行できます。

• 個々のイベントのプロパティを表示 () する
• 特定のイベントを検索 () する
• リストをフィルタする。イベントのリストをフィルタするには、[期間] および [コンピュータ] ツールバーを使用します。
• 既存の自動タグ付け () ルールを表示する
• イベントのリストビューから列 () を追加または削除する
• イベントリストのデータをCSVファイルにエクスポート () する

さらに、イベントを右クリックすると、次のオプションが表示されます。

• タグの追加: このイベントにイベントタグを追加します (「イベントのタグ付け」を参照)。
• タグを削除: 既存のイベントタグを削除します。
• コンピュータの詳細: ログエントリを生成したコンピュータの [詳細] 画面を表示します。
• セキュリティログ監視ルールプロパティ: このイベントに関連付けられたセキュリティログ監視ルールのプロパティを表示します。

[セキュリティログ監視イベント] 画面には、次の列があります。

• 時刻: コンピュータ上でイベントが発生した時刻。
• コンピュータ: このイベントのログが記録されたコンピュータ(コンピュータが削除されている場合、このエントリは「不明コンピュータ」と表示されます)。
• 理由: このイベントに関連付けられたセキュリティログ監視ルール。
• タグ: イベントに付けられたタグ。
• 説明: ルールの説明。
• ランク: ランク付けシステムでは、イベントの重要度を数値化できます。コンピュータに「資産評価」を割り当て、セキュリティログ監視ルールに「重要度」を割り当て、これら2つの値を掛け合わせることによって、イベントの重要度 (ランク) が計算されます。 これによって、イベントをランクでソートできます。
• 重要度: セキュリティログ監視ルールの重要度。
• グループ: ルールの所属先グループ。
• プログラム名: プログラム名。イベントのSyslogヘッダから取得されます。
• イベント: イベントの名前。
• 場所: ログの生成元。
• 送信元IP: パケットの送信元IP。
• 送信元ポート: パケットの送信元ポート。
• 送信先IP: パケットの送信先IP。
• 送信先ポート: パケットの送信先ポート。
• プロトコル: 値は、[ICMP]、[ICMPV6]、[IGMP]、[GGP]、[TCP]、[PUP]、[UDP]、[IDP]、[ND]、[RAW]、[TCP+UDP]、および [その他: nnn] (nnnは3桁の10進値) のいずれかになります。
• 処理: イベント内で実行された処理
• 送信元ユーザ: イベント内の送信元ユーザ。
• 送信先ユーザ: イベント内の送信先ユーザ。
• イベントホスト名: イベント発生元のホスト名。
• ID: イベントからIDとしてデコードされたID。
• ステータス: イベント内のデコードされたステータス。
• コマンド: イベント内で呼び出されるコマンド。
• URL: イベント内のURL。
• データ: イベントから抽出されたその他のデータ。
• システム名: イベント内のシステム名。
• 一致したルール: 一致したルールの数。
• イベント送信元: イベントの発生元であるDeep Securityコンポーネント。

イベントプロパティを表示する

イベントをダブルクリックすると、そのエントリの [プロパティ] 画面が表示され、画面上のイベントに関するすべての情報が表示されます。[タグ] タブには、このイベントに関連付けられているタグが表示されます。イベントのタグ付けの詳細については、[ポリシー]→[共通オブジェクト]→[その他]→[タグ]、および「参照」セクションの「イベントのタグ付け」を参照してください。

リストをフィルタし、イベントを検索する

[期間] ツールバーでリストをフィルタし、特定の期間内に発生したイベントだけを表示できます。

[コンピュータ] ツールバーで、コンピュータグループ別またはコンピュータポリシー別にイベントログエントリを表示できます。

表示されたイベントを検索、ソート、またはフィルタするには、[検索] オプションまたは [詳細検索] オプションを使用します。

詳細検索機能 (大文字/小文字の区別なし):

• 次の文字列を含む: 選択した列の入力内容に検索文字列が含まれる
• 次の文字列を含まない: 選択した列の入力内容に検索文字列が含まれない
• 等しい: 選択した列の入力内容と検索文字列が完全に一致する
• 等しくない: 選択した列の入力内容が検索文字列と一致しない
• 次のリストに含まれる: 選択した列の入力内容がカンマ区切りで入力された検索文字列1つと完全に一致する
• 次のリストに含まれない: 選択した列の入力内容がカンマ区切りで入力されたどの検索文字列とも一致しない

エクスポート

[エクスポート] ボタンをクリックして、すべてのイベントログエントリをCSVファイルへエクスポートします。

自動タグ付け

[自動タグ付け] をクリックして、既存のセキュリティログ監視の自動タグ付けルールリストを表示します。

セキュリティログ監視グループのタグを自動的に付加するには、自動タグ付けを使用します。セキュリティログ監視ルールのグループは、ルールに関連付けられています。次に例を示します。

<rule id="18126" level="3">
<if_sid>18101</if_sid>
<id>^20158</id>
<description>Remote access login success</description>
<group>authentication_success,</group>
</rule>

<rule id="18127" level="8">
<if_sid>18104</if_sid>
<id>^646|^647</id>
<description>Computer account changed/deleted</description>
<group>account_changed,</group>
</rule>

それぞれのグループ名には、分かりやすい名前の文字列が関連付けられています。上記の例では、「authentication_success」には「Authentication Success」、「account_changed」には「Account Changed」が関連付けられています。このチェックボックスをオンにすると、そのイベントのタグとして、フレンドリ名が自動的に追加されます。複数のルールがトリガされる場合は、複数のタグがイベントに追加されます。