SIEM 統合設定
既定では、SIEM 統合は使用されません。SIEM 統合は、有効化や無効化、関連する設定ができます(次の表を参照)。
SIEM 統合設定
設定 | 既定値 | 説明 |
syslog プロトコルでリモート syslog サーバーにイベントを送信する | オフ | それぞれ、チェックボックスをオンまたはオフにすることによって、SIEM 統合を有効または無効にできます。 |
リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する | オフ | チェックボックスをオンまたはオフにして、SIEM サーバーに送信されたログのローカルコピーの保存を設定できます。 |
イベント形式 | STRUCTURED-DATA | これらのイベントを syslog サーバーに送信して SIEM サーバーで良好に認識するために、イベントの変換形式には 2 つのいずれかを選択できます。 |
接続プロトコル | TCP | ドロップダウンリストを使用して、メインおよびミラー syslog サーバーへの接続プロトコルに UDP または TCP を設定できます。 |
メイン syslog サーバー接続設定 | IP アドレス:127.0.0.1 ポート:514 | 適切なフィールドを使用して、メインの syslog サーバーへの接続に使用する IP アドレスおよびポートを設定できます。 IP アドレスは IPv4 形式でのみ指定できます。 |
メインのサーバーにアクセスできない場合、ミラー syslog サーバーを使用する | オフ | チェックボックスを使用してミラー syslog サーバーの使用を有効または無効にできます。 |
ミラー syslog サーバー接続設定 | IP アドレス:127.0.0.1 ポート:514 | 適切なフィールドを使用して、ミラー syslog サーバーへの接続に使用する IP アドレスおよびポートを設定できます。 IP アドレスは IPv4 形式でのみ指定できます。 |
SIEM 統合設定を設定するには:
- アプリケーションコンソールツリーで、[ログと通知の設定]フォルダーのコンテキストメニューを開きます。
- [プロパティ]を選択します。
[ログと通知の設定]ウィンドウが開きます。
- [SIEM 連携]タブを選択します。
- [連携の設定]セクションで、[syslog プロトコルでリモート syslog サーバーにイベントを送信する]をオンにします。
- 必要に応じて、[連携の設定]セクションの[リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する]をオンにします。
[リモート syslog サーバーに送信されたイベントの場合、ローカルコピーを削除する]の状態は、セキュリティログのイベントを保存する設定に影響を及ぼしません。セキュリティログイベントが自動的に削除されることはありません。
- [イベント形式]セクションで、アプリケーションのイベントを SIEM サーバーに送信できるように変換する形式を指定します。
既定では、STRUCTURED-DATA 形式に変換されます。
- [接続設定]セクション:
- SIEM 接続プロトコルを指定します。
- メインの syslog サーバーに接続する設定を指定します。
IP アドレスは IPv4 形式でのみ指定できます。
- メインの syslog サーバーにイベントを送信できない場合にその他の接続設定を使用するようにするには、[メインのサーバーにアクセスできない場合、ミラー syslog サーバーを使用する]をオンにします。
ミラー syslog サーバーに接続する設定を指定します:[アドレス]および[ポート]。
[メインのサーバーにアクセスできない場合、ミラー syslog サーバーを使用する]がオフの場合、ミラー syslog サーバーの[アドレス]および[ポート]は編集できません。
IP アドレスは IPv4 形式でのみ指定できます。
- [OK]をクリックします。
設定済みの SIEM 統合設定が適用されます。
