SIEM 統合設定

低パフォーマンスデバイスの負荷を低下させ、アプリケーションログのサイズの肥大化によるシステムの性能低下のリスクを低減するために、Syslog プロトコルによる syslog サーバーへの監査イベントおよびタスクパフォーマンスイベントの公開を設定できます。

syslog サーバーは、イベント（SIEM）を集計するための外部サーバーです。受信したイベントを保管、分析し、その他のログ管理処理も実行します。

次の 2 つのモードで SIEM 統合を使用できます：

• syslog プロトコルでリモート syslog サーバーにイベントを送信する：このモードでは、ログの設定で公開が設定されたすべてのタスクパフォーマンスイベントとすべてのシステム監査イベントが、SIEM サーバーへの送信後も保護対象デバイスに引き続き格納されます。

  このモードを使用して、保護対象デバイスの負荷をできるだけ軽減してください。

• リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する：このモードでは、アプリケーションの操作中に登録され、SIEM サーバーに公開されたすべてのイベントが、保護対象デバイスから削除されます。

  セキュリティログのローカルバージョンは決して削除されません。

Kaspersky Security for Windows Server はアプリケーションログのイベントを syslog サーバーでサポートされる形式に変換して、イベントを送信し SIEM サーバーが正常に認識できるようにできます。STRUCTURED-DATA 形式や JSON 形式への変換がサポートされています。

SIEM サーバーへのイベントの送信に失敗するリスクを軽減するために、ミラー syslog サーバーへの接続設定を指定できます。

ミラー syslog サーバーは追加の syslog サーバーで、メインの syslog サーバーに接続できないか、メインのサーバーが使用できない場合に、自動的に切り替えられます。

既定では、SIEM 統合は使用されません。SIEM 統合は、有効化や無効化、関連する設定ができます（次の表を参照）。

SIEM 統合設定

設定	既定値	説明
syslog プロトコルでリモート syslog サーバーにイベントを送信する	オフ	それぞれ、チェックボックスをオンまたはオフにすることによって、SIEM 統合を有効または無効にできます。
リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する	オフ	チェックボックスをオンまたはオフにすることによって SIEM サーバーに送信されたログのローカルコピーの保存設定を行うことができます。
イベント形式	STRUCTURED-DATA	これらのイベントを syslog サーバーに送信して SIEM サーバーで良好に認識するために、イベントの変換形式には 2 つのいずれかを選択できます。
接続プロトコル	TCP	ドロップダウンリストを使用して、メイン syslog サーバーへの接続プロトコルに UDP または TCP を設定できます。ミラー syslog サーバーへの接続プロトコルには TCP を設定できます。
メイン syslog サーバー接続設定	IP アドレス：127.0.0.1 ポート：514	適切なフィールドを使用して、メインの syslog サーバーへの接続に使用する IP アドレスおよびポートを設定できます。 IP アドレスは IPv4 形式でのみ指定できます。
メインのサーバーにアクセスできない場合、ミラー syslog サーバーを使用する	オフ	チェックボックスを使用してミラー syslog サーバーの使用を有効または無効にできます。
ミラー syslog サーバー接続設定	IP アドレス：127.0.0.1 ポート：514	適切なフィールドを使用して、ミラー syslog サーバーへの接続に使用する IP アドレスおよびポートを設定できます。 IP アドレスは IPv4 形式でのみ指定できます。

SIEM 統合設定を設定するには：

1. Kaspersky Security Center の管理コンソールツリーで［管理対象デバイス］フォルダーを展開します。
2. アプリケーション設定を編集する管理グループを選択します。
3. 選択した管理グループの詳細ペインで、次のいずれかを実行します：
   • 保護対象デバイスグループに対してアプリケーションを設定するには、［ポリシー］タブを選択して、設定するポリシーのプロパティウィンドウを開きます。
   • 単一の保護対象デバイスに対してアプリケーションを設定するには、［デバイス］タブを選択して、［アプリケーションの設定］ウィンドウを開きます。

     Kaspersky Security Center のアクティブポリシーがデバイスに適用され、アプリケーションの設定の変更がブロックされている場合、［アプリケーションの設定］ウィンドウでこれらの設定を編集することはできません。

4. ［ログと通知］セクションで、［実行ログ］サブセクションの［設定］をクリックします。

   ［ログと通知の設定］ウィンドウが開きます。

5. ［SIEM 連携］タブを選択します。
6. ［連携の設定］セクションで、［syslog プロトコルでリモート syslog サーバーにイベントを送信する］をオンにします。
   

   このチェックボックスを使用して、公開されたイベントを外部 syslog サーバーに送信する機能を有効または無効にできます。

   チェックボックスがオンの場合、公開されたイベントは SIEM 統合設定を使用して SIEM サーバーに送信されます。

   チェックボックスがオフの場合、SIEM 統合は実行されません。チェックボックスがオフの場合、SIEM 統合を設定できません。

   既定では、このチェックボックスはオフです。

7. 必要に応じて、［連携の設定］セクションの［リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する］をオンにします。
   

   このチェックボックスを使用して、SIEM サーバーに送信したログのローカルコピーの削除を有効または無効にします。

   チェックボックスがオンの場合、SIEM サーバーに正常に公開されると、イベントのローカルコピーが削除されます。低パフォーマンスのデバイスにはこのモードをお勧めします。

   チェックボックスがオフの場合、ただ SIEM サーバーにイベントが送信されます。ログのコピーは、引き続きローカルに保存されます。

   既定では、このチェックボックスはオフです。

   ［リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する］の状態は、セキュリティログのイベントを保存する設定に影響を及ぼしません。セキュリティログイベントが自動的に削除されることはありません。

8. ［イベント形式］セクションで、アプリケーションのイベントを SIEM サーバーに送信できるように変換する形式を指定します。

   既定では、STRUCTURED-DATA 形式に変換されます。

9. ［接続設定］セクション：
   • SIEM 接続プロトコルを指定します。
   • メインの syslog サーバーに接続する設定を指定します。

     IP アドレスは IPv4 形式でのみ指定できます。

   • メインの syslog サーバーにイベントを送信できない場合にその他の接続設定を使用するようにするには、［メインのサーバーにアクセスできない場合、ミラー syslog サーバーを使用する］をオンにします。

     ミラー syslog サーバーに接続する設定を指定します：［アドレス］および［ポート］。

     ［メインのサーバーにアクセスできない場合、ミラー syslog サーバーを使用する］がオフの場合、ミラー syslog サーバーの［アドレス］および［ポート］は編集できません。

     IP アドレスは IPv4 形式でのみ指定できます。

10. ［OK］をクリックします。

設定済みの SIEM 統合設定が適用されます。

ページのトップに戻る