SIEM 連携設定
既定では、SIEM 連携は使用されません。SIEM 連携は、有効化や無効化、関連する設定ができます(次の表を参照)。
SIEM 連携設定
設定 | 既定値 | 説明 |
syslog プロトコルでリモート syslog サーバーにイベントを送信する | オフ | それぞれ、チェックボックスをオンまたはオフにすることによって、SIEM 連携を有効または無効にできます。 |
リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する | オフ | チェックボックスをオンまたはオフにすることによって SIEM サーバーに送信されたログのローカルコピーの保存設定を行うことができます。 |
イベント形式 | STRUCTURED-DATA | これらのイベントを syslog サーバーに送信して SIEM サーバーで良好に認識するために、イベントの変換形式には 2 つのいずれかを選択できます。 |
接続プロトコル | TCP | ドロップダウンリストを使用して、メインおよびミラー syslog サーバーへの接続プロトコルに UDP または TCP を設定できます。 |
メイン syslog サーバー接続設定 | IP アドレス:127.0.0.1 ポート:514 | 適切なフィールドを使用して、メインの syslog サーバーへの接続に使用する IP アドレスおよびポートを設定できます。 IP アドレスは IPv4 形式でのみ指定できます。 |
メインのサーバーにアクセスできない場合、ミラー syslog サーバーを使用する | オフ | チェックボックスを使用してミラー syslog サーバーの使用を有効または無効にできます。 |
ミラー syslog サーバー接続設定 | IP アドレス:127.0.0.1 ポート:514 | 適切なフィールドを使用して、ミラー syslog サーバーへの接続に使用する IP アドレスおよびポートを設定できます。 IP アドレスは IPv4 形式でのみ指定できます。 |
SIEM との統合の設定を指定するには:
- アプリケーションコンソールツリーで、[ログと通知]フォルダーのコンテキストメニューを開きます。
- [プロパティ]を選択します。
[ログと通知の設定]ウィンドウが開きます。
- [SIEM 連携]タブを選択します。
- [連携の設定]ブロックで、[syslog プロトコルでリモート syslog サーバーにイベントを送信する]をオンにします。
- 必要に応じて、[連携の設定]ブロックの[リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する]をオンにします。
[リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する]の状態は、セキュリティログのイベントを保存する設定に影響を及ぼしません。セキュリティログイベントが自動的に削除されることはありません。
- [イベント形式]ブロックで、アプリケーションのイベントを SIEM サーバーに送信できるように変換する形式を指定します。
既定では、STRUCTURED-DATA 形式に変換されます。
- [接続設定]ブロックで:
- SIEM 接続プロトコルを指定します。
- 同じ名前のフィールドに、メインの syslog サーバーに接続するための IPv4 アドレスとポートを指定します。
- メインの syslog サーバーにイベントを送信できない場合にその他の接続設定を使用するようにするには、[メインのサーバーにアクセスできない場合、ミラー syslog サーバーを使用する]をオンにします。
- 同じ名前のフィールドに、追加の syslog サーバーに接続するための IPv4 アドレスとポートを指定します。
- [OK]をクリックします。
設定済みの SIEM 連携設定が適用されます。
