Syslog アラート

企業によっては SIEM (Security Information and Event Management) を使用して、潜在的な脅威やセキュリティ上のインシデントに関するログを収集しています。Tenable Identity Exposure は、Active Directory 関連のセキュリティ情報を SIEM Syslog サーバーにプッシュすることができます。これにより、既存のアラートメカニズムが向上します。

  1. Tenable Identity Exposure で、[システム] > [設定] > [Syslog] をクリックします。

  2. 右側にある [Syslog アラートの追加] ボタンをクリックします。

    [Syslog アラートの追加] ペインが表示されます。

  3. [主要な情報] セクションに、以下を入力します。

    • ネットワークでセキュアリレーを使用している場合: [リレー] ボックスの矢印をクリックして、SIEM と通信するリレーをドロップダウンリストから選択します。

    • [コレクターの IP アドレスまたはホスト名] ボックスに、通知を受信するサーバー IP かホスト名を入力します。

    • [ポート] ボックスに、コレクターのポート番号を入力します。

    • [プロトコル] ボックスで、矢印をクリックして UDP か TCP をクリックします。

      • TCP を選択した場合、TLS セキュリティプロトコルを有効にしてログを暗号化するには、[TLS] オプションのチェックボックスを選択します。

    • [説明] ボックスに、コレクターの簡単な説明を入力します。

  1. [アラートのトリガー] ドロップダウンリストで、次のいずれかを選択します。

    • 変更時: Tenable Identity Exposure は指定したイベントが発生するたびに通知を送信します

    • 各逸脱時: Tenable Identity Exposure は逸脱 IoE を検出するたびに通知を送信します。

    • 各攻撃時: Tenable Identity Exposure は逸脱 IoA を検出するたびに通知を送信します。

    • 各ヘルスチェックステータスの変更時: Tenable Identity Exposure は、ヘルスチェックステータスが変わるたびに通知を送信します。

  1. [プロファイル] ボックスで、この Syslog アラートに使用するプロファイルをクリックして選択します。

  2. 初期分析フェーズ中に逸脱が検出された場合にアラートを送信する: 次のいずれかを実行します (該当する場合)。

    • チェックボックスを選択する: システムの再起動でアラートが発生すると、Tenable Identity Exposure は大量のメール通知を送信します。

    • チェックボックスの選択を解除する: システム再起動でアラートが発生しても、Tenable Identity Exposure はメール通知を送信しません。

  1. 深刻度のしきい値: ドロップダウンボックスの矢印をクリックして、Tenable Identity Exposure がアラートを送信するしきい値を選択します (該当する場合)。

  2. これまでに選択したアラートトリガーに応じて、以下のようになります。

    • イベント変更: 変更時にトリガーするアラートを設定する場合は、イベント通知をトリガーする式を入力します。

      アイコンをクリックして検索ウィザードを使用するか、検索ボックスにクエリ式を入力して [検証] をクリックします。詳細は、イベント情報のクエリをカスタマイズする を参照してください。

    • 露出インジケーター: [各逸脱時] にアラートがトリガーされるように設定した場合は、各深刻度レベルの横の矢印をクリックして露出インジケーターのリストを展開し、アラートを送信するインジケーターを選択します。

    • 攻撃インジケーター: [各攻撃時] にアラートがトリガーされるように設定した場合は、各深刻度レベルの横の矢印をクリックして攻撃インジケーターのリストを展開し、アラートを送信するインジケーターを選択します。

    • ヘルスチェックステータスの変更: [ヘルスチェック] をクリックし、アラートをトリガーするヘルスチェックタイプを選択し、[選択内容でフィルター] をクリックします。

  1. [ドメイン] ボックスをクリックして、Tenable Identity Exposure がアラートを送信するドメインを選択します。

    [フォレストとドメイン] ペインが表示されます。

    1. フォレストまたはドメインを選択します。

    2. [選択内容でフィルター] をクリックします。

  1. [設定のテスト] をクリックします。

    Tenable Identity Exposure が Syslog アラートをサーバーに送信したことを確認するメッセージが表示されます。

  2. [追加] をクリックします。

    Tenable Identity Exposure により Syslog アラートが作成されたことを確認するメッセージが表示されます。

  1. Tenable Identity Exposure で、[システム] > [設定] > [Syslog] をクリックします。

  2. Syslog アラートのリストで、変更するアラートにカーソルを合わせ、行末の アイコンをクリックします。

    [Syslog アラートの編集] ペインが表示されます。

  3. 前の手順新しい Syslog アラートを追加するにはに記載されている必要な変更を行います。

  4. [編集] をクリックします。

    Tenable Identity Exposure によりアラートが更新されたことを確認するメッセージが表示されます。

  1. Tenable Identity Exposure で、[システム] > [設定] > [Syslog] をクリックします。

  2. Syslog アラートのリストで、削除するアラートにカーソルを合わせ、行末の アイコンをクリックします。

    削除の確認を求めるメッセージが表示されます。

  3. [削除] をクリックします。

    Tenable Identity Exposure がアラートを削除したことを確認するメッセージが表示されます。

関連項目