サーバーとワークロード保護ログの設定
エンドポイント、サーバー、およびワークロード保護イベント(マルウェア対策、Webレピュテーション、整合性監視、およびアプリケーション制御など)を転送するには、以下の手順を実行します。
手順
- Trend Micro Vision One コンソールにログインします。
- エンドポイントセキュリティ ]タブにアクセスします。
- Policies > Common Objects > Other > Syslog Configurationsに進みます。
- New をクリックし、 New Configuration を選択します。
- General タブで、以下のフィールドを設定する:
フィールド 説明 名前 コンフィギュレーションを識別する一意の名前。 説明 オプションでコンフィギュレーションの説明。 ログ・ソース ID サーバーおよびワークロード保護ホスト名の代わりに使用するオプションの識別子。 サーバー名 受信するSyslogまたはSIEMサーバーのホスト名またはIPアドレス。 サーバー・ポート SIEMまたはSyslogサーバーのリスニングポート番号。 UDPの場合、IANA標準のポート番号は514であり、TLSの場合は通常6514ポートである。 トランスポート トランスポートプロトコルがセキュア(TLS)かそうでないか(UDP)を指定。 注意: TLS では、エージェントが Workload Security Manager を介してログを転送するように (間接的に) 設定する必要があります。イベント・フォーマット ログメッセージのフォーマットがLEEF、CEF、または基本的なSyslogのいずれであるかを指定します。 注:- LEEFはワークロード・セキュリティ・マネージャーを通して転送する必要がある。
- 基本的なSyslog形式は、マルウェア対策、Webレピュテーション、整合性監視、およびアプリケーション制御モジュールではサポートされていません。
イベントにタイムゾーンを含める イベントに完全な日付(年とタイムゾーンを含む)を追加するかどうかを指定します。 注: 全日程は、ワークロード・セキュリティ・マネージャーを通じて転送する必要がある。ファシリティー (Facility) イベントが関連するプロセスのタイプ。 シスログサーバーは、ログメッセージのファシリティフィールドに基づいて優先順位をつけたり、フィルターをかけたりするかもしれない。 エージェントはログを転送する イベントをSyslogサーバーに直接送信するか、ワークロードセキュリティマネージャーを介して(間接的に)送信するかを指定します。 注: サーバーとワークロード保護を通して転送されるログは、ファイアウォールと侵入防御のパケットデータを除外します。 - Syslog または SIEM サーバーが TLS クライアントを必要とする場合は、「資格情報」タブでクライアント認証を完了します。
- 「適用」をクリックします。
- TLS トランスポート メカニズムを選択した場合は、Server and Workload Protection と Syslog サーバーの両方が接続でき、互いの証明書を信頼できることを確認します。
- 続けて、転送するイベントを選択する。詳細については、「 サーバーおよびワークロード保護イベントをSyslogまたはSIEMサーバーに転送する 」を参照してください。