Syslog アラート

企業によっては SIEM (Security Information and Event Management) を使用して、潜在的な脅威やセキュリティ上のインシデントに関するログを収集しています。Tenable Identity Exposure は、Active Directory 関連のセキュリティ情報を SIEM Syslog サーバーにプッシュすることができます。これにより、既存のアラートメカニズムを改善できます。

Syslog アラートの管理

新しい Syslog アラートを追加する方法

1. Tenable Identity Exposure で、[システム] > [設定] > [Syslog] をクリックします。

2. 右側にある [Syslog アラートの追加] ボタンをクリックします。

   [Syslog アラートの追加] ペインが表示されます。

   

3. [主要な情報] セクションに、以下を入力します。

   • ネットワークでセキュアリレーを使用している場合: [リレー] ボックスの矢印をクリックして、SIEM と通信するリレーをドロップダウンリストから選択します。

   • [コレクターの IP アドレスまたはホスト名] ボックスに、通知を受信するサーバー IP かホスト名を入力します。

   • [ポート] ボックスに、コレクターのポート番号を入力します。

   • [プロトコル] ボックスで、矢印をクリックして UDP か TCP をクリックします。

     • TCP を選択した場合、TLS セキュリティプロトコルを有効にしてログを暗号化するには、[TLS] オプションのチェックボックスを選択します。

• [説明] ボックスに、コレクターの簡単な説明を入力します。

4. [アラートのトリガー] ドロップダウンリストで、次のいずれかを選択します。

   • 変更時: Tenable Identity Exposure は指定したイベントが発生するたびに通知を送信します

   • 各逸脱時: Tenable Identity Exposure は逸脱 IoE を検出するたびに通知を送信します。

   • 各攻撃時: Tenable Identity Exposure は逸脱 IoA を検出するたびに通知を送信します。

   • 各ヘルスチェックステータスの変更時: Tenable Identity Exposure は、ヘルスチェックステータスが変わるたびに通知を送信します。

5. [プロファイル] ボックスで、この Syslog アラートに使用するプロファイルをクリックして選択します。

6. 初期分析フェーズ中に逸脱が検出された場合にアラートを送信する: 次のいずれかを実行します (該当する場合)。

   • チェックボックスを選択する: システムの再起動でアラートがトリガーされると、Tenable Identity Exposure は大量の Syslog メッセージを送信します。

   • チェックボックスの選択を解除する: システム再起動でアラートがトリガーされても、Tenable Identity Exposure は Syslog メッセージを送信しません。

7. 深刻度のしきい値: ドロップダウンボックスの矢印をクリックして、Tenable Identity Exposure がアラートを送信するしきい値を選択します (該当する場合)。

8. これまでに選択したアラートトリガーに応じて、以下のようになります。

   • イベント変更: 変更時にトリガーするアラートを設定する場合は、イベント通知をトリガーする式を入力します。

     アイコンをクリックして検索ウィザードを使用するか、検索ボックスにクエリ式を入力して [検証] をクリックします。詳細は、イベントフローのクエリをカスタマイズするを参照してください。

     注意: Tenable Identity Exposure は、イベントを受信するとすぐにこのフィルターを適用し、追加のセキュリティ分析を実行する前に Syslog にイベントを転送します。結果として、強化されたデータまたは後処理されたデータに依存するフィルターは、この段階では機能しません。

   • 露出インジケーター: 各逸脱時にアラートがトリガーされるように設定した場合は、各深刻度レベルの横の矢印をクリックして露出インジケーターのリストを展開し、アラートを送信するインジケーターを選択します。

   • 攻撃インジケーター: 各攻撃時 にアラートがトリガーされるように設定した場合は、各深刻度レベルの横の矢印をクリックして攻撃インジケーターのリストを展開し、アラートを送信するインジケーターを選択します。

   • ヘルスチェックステータスの変更: [ヘルスチェック] をクリックし、アラートをトリガーするヘルスチェックタイプを選択し、[選択内容でフィルター] をクリックします。

9. [ドメイン] ボックスをクリックして、Tenable Identity Exposureがアラートを送信するドメインを選択します。

   [フォレストとドメイン] ペインが表示されます。

   1. フォレストまたはドメインを選択します。

   2. [選択内容でフィルター] をクリックします。

10. [設定のテスト] をクリックします。

    Tenable Identity Exposure が Syslog アラートをサーバーに送信したことを確認するメッセージが表示されます。

11. [追加] をクリックします。

    Tenable Identity Exposure により Syslog アラートが作成されたことを確認するメッセージが表示されます。

Syslog アラートを編集するには

1. Tenable Identity Exposure で、[システム] > [設定] > [Syslog] をクリックします。

2. Syslog アラートのリストで、変更するアラートにカーソルを合わせ、行末の アイコンをクリックします。

   [Syslog アラートの編集] ペインが表示されます。

3. 前の手順新しい Syslog アラートを追加する方法に記載されている必要な変更を行います。

4. [編集] をクリックします。

   Tenable Identity Exposure がアラートを更新したことを確認するメッセージが表示されます。

Syslog アラートを削除するには

1. Tenable Identity Exposure で、[システム] > [設定] > [Syslog] をクリックします。

2. Syslog アラートのリストで、削除するアラートにカーソルを合わせ、行末の アイコンをクリックします。

   削除の確認を求めるメッセージが表示されます。

3. [削除] をクリックします。

   Tenable Identity Exposure がアラートを削除したことを確認するメッセージが表示されます。

Syslog データを Tenable Identity Exposure アラートにマッピング

この手順では、SIEM の Syslog データを Tenable Identity Exposure 攻撃アラートにマッピングする方法について説明します。

例

<116>feb  04 10:31:01 qradar.alsid.app TenableAD[4]: "2" "1337" "Alsid Forest" "alsid.corp" "DC Sync" "medium" "LABFAB-TOOLS" "10.200.200.5" "LABFAB-DC" "10.200.200.4" "user"="dcadmin" "dc_name"="LABFAB-DC"

Tenable の各 Syslog イベントは標準形式に従い、特定のフィールドが引用符 (") で囲まれています。これらのフィールドは、アラート ID、ドメイン、脅威タイプ、リスクレベル、ホスト名、IP アドレスなどのさまざまなイベント属性を表します。

Syslog データを攻撃情報にマッピングする方法

1. 攻撃コード名でフィルター: 値が "DC Sync" (パート 6 - 攻撃コード名) のイベントを選択します。

   

   

2. 日付でフィルター: タイムスタンプ 2 月 4 日 10:31:01 (パート 1 - タイムスタンプ) にイベントを絞り込みます。

   

3. タイムスタンプとの完全一致: イベントタイムスタンプが 2 月 4 日 10:31:01 (パート 1 - タイムスタンプ) と一致していることを確認します。

   

4. 起点と標的を検証: 攻撃の詳細が一致していることを確認します。

   • 起点: "LABFAB-TOOLS" "10.200.200.5" (パート 8 & 9)

   • 標的: "LABFAB-DC" "10.200.200.4" (パート 10 & 11)

   

関連項目

• Syslog とメールアラートの詳細