サポート

法人向けアプリケーション

Kaspersky Secure Mail Gateway

SIEM システムへの製品イベントの公開

SIEM システムへの製品イベントの公開の設定
Kaspersky Secure Mail Gateway
Нет результатов
サポートサイト オンラインヘルプ
よくある質問まとめ (FAQ) ダウンロード 購入 更新 フォーラム (英語) サポートへ問い合わせる 無料ツール

SIEM システムへの製品イベントの公開の設定

2024年4月16日

ID 218660

イベントを CEF 形式で外部 SIEMシステムに公開するように設定したり、イベントをサーバー上のログファイルにローカルに保存したりできます。イベントをローカルに保存する必要がない場合は、このセクションの手順の 5、7、8 をスキップします。

SIEM システムにイベントを公開する各クラスタノードで、以下の手順を実行します。CEF 形式でのイベントのエクスポートを有効にするのは、イベント公開の設定後にのみ行ってください。

SIEM システムへの製品イベントの公開を設定するには:

  1. クラスタノードでオペレーティングシステムのコマンドシェルを起動し、スーパーユーザー(システム管理者)権限でコマンドを実行します。
  2. イベントは、rsyslog システムログサービスを使用して外部 SIEM システムに送信されます。次のコマンドを使用して、サービスがインストールして実行されていることを確認します:

    systemctl status rsyslog

    サービスのステータスは「running」である必要があります。

    rsyslog サービスが実行されていない場合、またはインストールされていない場合は、オペレーティングシステムのドキュメントの指示に従って、rsyslog サービスをインストールして有効にします。

  3. ファイル /etc/rsyslog.d/ksmg-cef-messages.conf を作成し、次の行をそれに追加します:

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

  4. UDP を使用してイベントを SIEM システムに送信する場合は、次の行を追加します:

    <CEF 形式のカテゴリ(ファシリティ)>.* @<SIEM システムの IP アドレス>:<UDP を使用して Syslog からメッセージを受信するために SIEM システムが使用するポート>

    TCP を使用してイベントを送信する場合は、次の行を追加します:

    <CEF 形式のカテゴリ(ファシリティ)>.* @<SIEM システムの IP アドレス>:<TCP を使用して Syslog からメッセージを受信するために SIEM システムが使用するポート>

  5. イベントをローカルにコピーする場合は、同じファイルに次の行を追加します:

    <CEF 形式のファシリティ>.* -/var/log/ksmg-cef-messages

  6. ファイルの末尾に次の行を追加します:

    <CEF 形式のファシリティ>.* stop

    ローカルのログに保存せずに UDP を使用してエクスポートするための設定情報ファイルの例:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* stop

    ローカルログに保存して TCP を使用してエクスポートするための設定情報ファイルの例:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* -/var/log/ksmg-cef-messages

    local2.* stop
  7. イベントのコピーをローカルに保存するように設定した場合は、ログファイル /var/log/ksmg-cef-messages を作成し、そのアクセス許可を設定します。この操作には、次のコマンドを実行します:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  8. イベントのコピーをローカルに保存するように設定した場合は、エクスポートされたイベントを含むログファイルのローテーションのルールを設定します。設定するには、ファイル /etc/logrotate.d/ksmg-cef-messages を作成し、次の行をそれに追加します:

    /var/log/ksmg-cef-messages

    {

    size 500M

    rotate 10

    compress

    missingok

    notifempty

    sharedscripts

    postrotate

    /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

    endscript

    }

  9. rsyslog サービスを再起動します。この操作には、次のコマンドを実行します:

    systemctl restart rsyslog

  10. nginx サービスのステータスをチェックします:

    systemctl status rsyslog

    ステータスは running である必要があります。

  11. 次のコマンドを使用して、テストメッセージを SIEM システムに送信します:

    logger -p <CEF形式のカテゴリ(ファシリティ)>.info Test message

SIEM システムへの製品イベントの公開が設定されます。

Kaspersky Endpoint Security for Business Advanced:企業のための適応型セキュリティ
Web とデバイスをコントロール。データの暗号化。単一のコンソールから便利かつシンプルにセキュリティ管理。
拡張テクニカルサポート(MSA):優先度の高いインシデント対応
電話または Web ポータルでサポートを提供。迅速なインシデント対応、監視、正常性チェック。最適なプランを選び、申請して、契約(MSA)をアクティブ化。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。