サーバーとワークロード保護ログの設定

エンドポイント、サーバー、およびワークロード保護イベント(マルウェア対策、Webレピュテーション、整合性監視、およびアプリケーション制御など)を転送するには、以下の手順を実行します。

手順

  1. Trend Micro Vision One コンソールにログインします。
  2. エンドポイントセキュリティ ]タブにアクセスします。
  3. Policies > Common Objects > Other > Syslog Configurationsに進みます。
  4. New をクリックし、 New Configuration を選択します。
  5. General タブで、以下のフィールドを設定する:
    フィールド 説明
    名前 コンフィギュレーションを識別する一意の名前。
    説明 オプションでコンフィギュレーションの説明。
    ログ・ソース ID サーバーおよびワークロード保護ホスト名の代わりに使用するオプションの識別子。
    サーバー名 受信するSyslogまたはSIEMサーバーのホスト名またはIPアドレス。
    サーバー・ポート SIEMまたはSyslogサーバーのリスニングポート番号。 UDPの場合、IANA標準のポート番号は514であり、TLSの場合は通常6514ポートである。
    トランスポート トランスポートプロトコルがセキュア(TLS)かそうでないか(UDP)を指定。
    注意: TLS では、エージェントが Workload Security Manager を介してログを転送するように (間接的に) 設定する必要があります。
    イベント・フォーマット ログメッセージのフォーマットがLEEF、CEF、または基本的なSyslogのいずれであるかを指定します。
    注:
    • LEEFはワークロード・セキュリティ・マネージャーを通して転送する必要がある。
    • 基本的なSyslog形式は、マルウェア対策、Webレピュテーション、整合性監視、およびアプリケーション制御モジュールではサポートされていません。
    イベントにタイムゾーンを含める イベントに完全な日付(年とタイムゾーンを含む)を追加するかどうかを指定します。
    注: 全日程は、ワークロード・セキュリティ・マネージャーを通じて転送する必要がある。
    ファシリティー (Facility) イベントが関連するプロセスのタイプ。 シスログサーバーは、ログメッセージのファシリティフィールドに基づいて優先順位をつけたり、フィルターをかけたりするかもしれない。
    エージェントはログを転送する イベントをSyslogサーバーに直接送信するか、ワークロードセキュリティマネージャーを介して(間接的に)送信するかを指定します。
    注: サーバーとワークロード保護を通して転送されるログは、ファイアウォールと侵入防御のパケットデータを除外します。
  6. Syslog または SIEM サーバーが TLS クライアントを必要とする場合は、「資格情報」タブでクライアント認証を完了します。
  7. 「適用」をクリックします。
  8. TLS トランスポート メカニズムを選択した場合は、Server and Workload Protection と Syslog サーバーの両方が接続でき、互いの証明書を信頼できることを確認します。
  9. 続けて、転送するイベントを選択する。