SIEM 連携について
低パフォーマンスデバイスの負荷を低下させ、アプリケーションログのサイズの肥大化によるシステムの性能低下のリスクを低減するために、Syslog プロトコルによる syslog サーバーへの監査イベントおよびタスクパフォーマンスイベントの公開を設定できます。
syslog サーバーは、イベント(SIEM)を集計するための外部サーバーです。受信したイベントを保管、分析し、その他のログ管理処理も実行します。
次の 2 つのモードで SIEM 連携を使用できます:
- syslog プロトコルでリモート syslog サーバーにイベントを送信する:このモードでは、ログの設定で公開が設定されたすべてのタスクパフォーマンスイベントとすべてのシステム監査イベントが、SIEM サーバーへの送信後も保護対象デバイスに引き続き格納されます。
このモードを使用して、保護対象デバイスの負荷をできるだけ軽減してください。
- リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する:このモードでは、アプリケーションの操作中に登録され、SIEM サーバーに公開されたすべてのイベントが、保護対象デバイスから削除されます。
セキュリティログのローカルバージョンは決して削除されません。
Kaspersky Embedded Systems Security for Windows はアプリケーションログのイベントを syslog サーバーでサポートされる形式に変換して、イベントを送信し SIEM サーバーが正常に認識できるようにできます。STRUCTURED-DATA 形式や JSON 形式への変換がサポートされています。
使用されている SIEM サーバーの設定に基づいて、イベントのフォーマットを選択してください。
信頼性設定
SIEM サーバーへのイベントの送信に失敗するリスクを軽減するために、ミラー syslog サーバーへの接続設定を指定できます。
ミラー syslog サーバーは追加の syslog サーバーで、メインの syslog サーバーに接続できないか、メインのサーバーが使用できない場合に、自動的に切り替えられます。
Kaspersky Embedded Systems Security for Windows では、SIEM サーバーへの接続試行の失敗および SIEM サーバーへのイベント送信中のエラーについて、システム監査イベントを使用して通知することもできます。