セキュリティログ監視ルール

OSSECのセキュリティログ監視エンジンはVulnerability ProtectionVulnerability ProtectionDeep Security Agentに統合され、コンピュータで実行されているOSおよびアプリケーションで生成されたログとイベントをVulnerability ProtectionDeep Securityで検査できるようになりました。セキュリティログ監視ルールは、コンピュータに直接割り当てることも、ポリシーの一部にすることもできます。変更監視イベントと同様に、セキュリティログ監視イベントについてもアラートを生成するようにVulnerability ProtectionDeep Security Managerで設定できます。

セキュリティログ監視のアイコン:

通常のセキュリティログ監視ルール
設定オプションがあるセキュリティログ監視ルール

メイン画面から、次のことを実行できます。

セキュリティログ監視ルールを新規作成する ()
XMLファイルからセキュリティログ監視ルールをインポートする ()
既存のセキュリティログ監視ルールのプロパティを確認または変更する ()
既存のセキュリティログ監視ルールを複製 (および変更) する ()
セキュリティログ監視ルールを削除する ()
1つ以上のセキュリティログ監視ルールをXMLファイルまたはCSVファイルにエクスポートする () ([エクスポート] ボタンをクリックして対象をすべてエクスポートするか、リストで選択して、選択または表示された対象のみをエクスポートする)

1台以上のコンピュータに割り当てられたセキュリティログ監視ルール、またはポリシーの一部であるセキュリティログ監視ルールは削除できません。

Vulnerability ProtectionDeep Security Managerには、標準のOSSECのセキュリティログ監視ルールセットが付属しています。セキュリティログ監視の詳細については、「セキュリティログ監視ルールの確認」および「セキュリティログ監視」を参照してください。

[新規] () または [プロパティ] () をクリックして、[セキュリティログ監視ルールのプロパティ] 画面を表示します。

一般

一般情報

セキュリティログ監視ルールの名前と説明、およびトレンドマイクロが発行するルールの場合は、ルールを機能させるために最低限必要なAgentとVulnerability ProtectionDeep Security Managerのバージョン。

ID

ルールが初めて発行された日付と、最後に更新された日付、およびルールの一意のIDです。

コンテンツ

[コンテンツ] タブが表示されるのは、ユーザ自身が作成するセキュリティログ監視ルールについてのみです。トレンドマイクロが発行するセキュリティログ監視ルールの場合は、代わりに [設定] タブが表示されます。このタブには、セキュリティログ監視ルールの設定オプションが表示されます。トレンドマイクロが発行するセキュリティログ監視ルールは編集できませんが、コピーしたものを編集することはできます。

テンプレート

[コンテンツ] タブで、[基本ルール] テンプレートを選択します。

一般情報

ルールIDを入力します。ルールIDは、ルールの一意の識別子です。OSSECでは、ユーザ定義のルール用に100000～109999を定義します (このフィールドには、新しい一意のルールIDがVulnerability ProtectionDeep Security Managerによって事前に入力されています)。

ルールにはレベルを指定します。ゼロ (0) は、ルールによってイベントが記録されないことを示しますが、このルールを監視する他のルールが発生する可能性があります (下記に示す依存関係のフィールドを参照)。

オプションで、1つ以上のカンマ区切りのグループにルールを割り当てます。これが有効になるのは、ある1つのルールの発生時に発生する複数のルール、または特定のグループに属するルールを作成した後に依存関係が使用されるときです。

パターン照合

これは、ルールがログ内を検索するパターンです。一致するものが検出されるとルールがトリガされます。パターン照合では、正規表現またはより簡単な文字列パターンをサポートします。「文字列パターン」というパターンの種類は正規表現よりも処理が高速ですが、サポートされるのは次に示す3つの特殊な処理のみです。

^ (カレット): テキストの先頭を指定します。
$ (ドル記号): テキストの末尾を指定します。
| (パイプ): 複数のパターン間に「OR」を作成します。

セキュリティログ監視モジュールで使用される正規表現の構文については、http://www.ossec.net/doc/syntax/regex.htmlを参照してください。

コンポジット

[頻度] は、ルールがトリガされるまでの特定の期間内にルールを照合する必要のある回数です。

[期間] は、イベントを記録するためにルールを特定の回数 (上記の頻度) トリガするまでの期間 (秒数) です。

依存関係

別のルールへの依存関係を設定すると、現在のルールでは、このエリアに指定したルールがトリガされた場合にもイベントが記録されます。

ファイル

ルールによって監視するファイルのフルパスを入力し、そのファイルの種類を指定します。

オプション

アラート

このルールがVulnerability ProtectionDeep Security Managerでアラートをトリガするかどうかを選択します。

[最小のアラート重要度] 設定は、「基本」テンプレートを使用して作成できないルール内に「複数のルール」を作成済みの場合にのみ使用されます。ただし、「基本」テンプレートを使用してルールを作成した後で、ルールのXMLを編集し、重要度の異なるルールをそのXMLに追加する場合は、[最小のアラート重要度] ドロップダウンメニューを使用して、アラートをトリガする複数のルールから最低限の重要度を設定できます。

割り当て対象

このセキュリティログ監視ルールを使用しているセキュリティプロファイルまたはコンピュータが一覧表示されます。

推奨設定

Vulnerability ProtectionDeep Securityでは、定期的に推奨設定の検索を実行するように設定できます。これは、コンピュータを検索してさまざまなセキュリティルールの適用を推奨するものです。チェックボックスをオンにすると、推奨されるセキュリティログ監視ルールがコンピュータに自動で割り当てられ、不要なルールは自動的に外されます。

推奨設定エンジンのオンとオフを切り替えるには、ポリシーまたはコンピュータエディタで、[設定]→[検索] に進みます。