SIEM 連携設定

低パフォーマンスデバイスの負荷を低下させ、アプリケーションログのサイズの肥大化によるシステムの性能低下のリスクを低減するために、Syslog プロトコルによる syslog サーバーへの監査イベントおよびタスクパフォーマンスイベントの公開を設定できます。

syslog サーバーは、イベント（SIEM）を集計するための外部サーバーです。受信したイベントを保管、分析し、その他のログ管理処理も実行します。

次の 2 つのモードで SIEM 連携を使用できます：

• syslog プロトコルでリモート syslog サーバーにイベントを送信する：このモードでは、ログの設定で公開が設定されたすべてのタスクパフォーマンスイベントとすべてのシステム監査イベントが、SIEM サーバーへの送信後も保護対象デバイスに引き続き格納されます。

  このモードを使用して、保護対象デバイスの負荷をできるだけ軽減してください。

• リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する：このモードでは、アプリケーションの操作中に登録され、SIEM サーバーに公開されたすべてのイベントが、保護対象デバイスから削除されます。

  セキュリティログのローカルバージョンは決して削除されません。

Kaspersky Embedded Systems Security for Windows はアプリケーションログのイベントを syslog サーバーでサポートされる形式に変換して、イベントを送信し SIEM サーバーが正常に認識できるようにできます。STRUCTURED-DATA 形式や JSON 形式への変換がサポートされています。

SIEM サーバーへのイベントの送信に失敗するリスクを軽減するために、ミラー syslog サーバーへの接続設定を指定できます。

ミラー syslog サーバーは追加の syslog サーバーで、メインの syslog サーバーに接続できないか、メインのサーバーが使用できない場合に、自動的に切り替えられます。

既定では、SIEM 連携は使用されません。SIEM 連携は、有効化や無効化、関連する設定ができます（次の表を参照）。

SIEM 連携設定

設定	既定値	説明
syslog プロトコルでリモート syslog サーバーにイベントを送信する	オフ	それぞれ、チェックボックスをオンまたはオフにすることによって、SIEM 連携を有効または無効にできます。
リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する	オフ	チェックボックスをオンまたはオフにすることによって SIEM サーバーに送信されたログのローカルコピーの保存設定を行うことができます。
イベント形式	STRUCTURED-DATA	これらのイベントを syslog サーバーに送信して SIEM サーバーで良好に認識するために、イベントの変換形式には 2 つのいずれかを選択できます。
接続プロトコル	TCP	ドロップダウンリストを使用して、メインの syslog サーバーへの接続プロトコルに UDP または TCP を設定できます。ミラー syslog サーバーへの接続プロトコルには TCP を設定できます。
メイン syslog サーバー接続設定	IP アドレス：127.0.0.1 ポート：514	適切なフィールドを使用して、メインの syslog サーバーへの接続に使用する IP アドレスおよびポートを設定できます。 IP アドレスは IPv4 形式でのみ指定できます。
メインのサーバーにアクセスできない場合、ミラー syslog サーバーを使用する	オフ	チェックボックスを使用してミラー syslog サーバーの使用を有効または無効にできます。
ミラー syslog サーバー接続設定	IP アドレス：127.0.0.1 ポート：514	適切なフィールドを使用して、ミラー syslog サーバーへの接続に使用する IP アドレスおよびポートを設定できます。 IP アドレスは IPv4 形式でのみ指定できます。

SIEM との統合の設定を指定するには：

1. Kaspersky Security Center の管理コンソールツリーで［管理対象デバイス］フォルダーを展開します。
2. アプリケーション設定を編集する管理グループを選択します。
3. 選択した管理グループの詳細ペインで、次のいずれかを実行します：
   • 保護対象デバイスグループに対してログを設定するには、［ポリシー］タブを選択して、ポリシーのプロパティウィンドウを開きます。
   • 個別の保護対象デバイスに対してアプリケーションを設定するには、［デバイス］タブを選択して、［アプリケーションの設定］ウィンドウを開きます。
4. ［ログと通知］セクションで、［設定］サブセクションの［実行ログ］をクリックします。

   ［ログと通知の設定］ウィンドウが開きます。

5. ［SIEM 連携］タブを選択します。
6. ［連携の設定］ブロックで、［syslog プロトコルでリモート syslog サーバーにイベントを送信する］をオンにします。
   

   このチェックボックスを使用して、公開されたイベントを外部 syslog サーバーに送信する機能を有効または無効にできます。

   チェックボックスがオンの場合、公開されたイベントは SIEM 連携設定を使用して SIEM サーバーに送信されます。

   チェックボックスがオフの場合、SIEM 連携は実行されません。チェックボックスがオフの場合、SIEM 連携を設定できません。

   既定では、このチェックボックスはオフです。

7. 必要に応じて、［連携の設定］ブロックの［リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する］をオンにします。
   

   このチェックボックスを使用して、SIEM サーバーに送信したログのローカルコピーの削除を有効または無効にします。

   チェックボックスがオンの場合、SIEM サーバーに正常に公開されると、イベントのローカルコピーが削除されます。低パフォーマンスのデバイスにはこのモードをお勧めします。

   チェックボックスがオフの場合、ただ SIEM サーバーにイベントが送信されます。ログのコピーは、引き続きローカルに保存されます。

   既定では、このチェックボックスはオフです。

   ［リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する］の状態は、セキュリティログのイベントを保存する設定に影響を及ぼしません。セキュリティログイベントが自動的に削除されることはありません。

8. ［イベント形式］ブロックで、アプリケーションのイベントを SIEM サーバーに送信できるように変換する形式を指定します。

   既定では、STRUCTURED-DATA 形式に変換されます。

9. ［接続設定］ブロックで：
   • SIEM 接続プロトコルを指定します。
   • 同じ名前のフィールドに、メインの syslog サーバーに接続するための IPv4 アドレスとポートを指定します。
   • メインの syslog サーバーにイベントを送信できない場合にその他の接続設定を使用するようにするには、［メインのサーバーにアクセスできない場合、ミラー syslog サーバーを使用する］をオンにします。
   • 同じ名前のフィールドに、追加の syslog サーバーに接続するための IPv4 アドレスとポートを指定します。
10. ［OK］をクリックします。

設定済みの SIEM 連携設定が適用されます。

ページのトップに戻る