概要
Deep Discovery Inspector の Syslog 機能を使って、重大度が「低」以上の検出ログを Syslog サーバに転送したいと思っています。
DDI では Syslog サーバ追加時に 重大度(Severity) という項目がありますが、この項目で転送する検出ログを絞り込めるのでしょうか。
DDI では Syslog サーバ追加時に 重大度(Severity) という項目がありますが、この項目で転送する検出ログを絞り込めるのでしょうか。
詳細
Deep Discovery Inspector (以下、DDI) における Syslogサーバの設定画面にある 重大度 (Severity) は、DDI からの転送ログに設定されるsyslog のプライオリティを指しており、検出の重大度との関連はございません。
また、転送するログの種類(不正なコンテンツ、システムイベント など)を絞ることは可能ですが、検出の重大度によって DDI 側で転送ログを絞ることはできません。
DDI 管理コンソールの [管理]→[統合製品/サービス]→[Syslog]→[Syslogサーバの追加] 画面にて
[検出ログ] セクション配下にあるすべてのログ項目(不正なコンテンツ、不正な動作 など)を選択しますと
すべての検出ログが Syslog サーバに転送されるようになります。
もし検出の重大度「低」以上などにログを絞りたい場合は、検出ログの重大度に応じて Syslogサーバ側で受信時、または参照時にフィルタをお願いいたします。
Syslog のフォーマットにつきましては、弊社 Download Center より入手いただける各バージョンの Syslog コンテンツマッピングガイドをご参照ください。
Download Center
DDI から転送される Syslog メッセージにおいて、検出の重大度は以下のように設定されます。
・情報 → 2
・低 → 4
・中 → 6
・高 → 8
例えば、CEF形式の脅威ログにおいて、検出の重大度「低」以上のログに絞る場合は、「Header(severity) 」が 4 以上のログを抽出してください。
また、転送するログの種類(不正なコンテンツ、システムイベント など)を絞ることは可能ですが、検出の重大度によって DDI 側で転送ログを絞ることはできません。
DDI 管理コンソールの [管理]→[統合製品/サービス]→[Syslog]→[Syslogサーバの追加] 画面にて
[検出ログ] セクション配下にあるすべてのログ項目(不正なコンテンツ、不正な動作 など)を選択しますと
すべての検出ログが Syslog サーバに転送されるようになります。
もし検出の重大度「低」以上などにログを絞りたい場合は、検出ログの重大度に応じて Syslogサーバ側で受信時、または参照時にフィルタをお願いいたします。
Syslog のフォーマットにつきましては、弊社 Download Center より入手いただける各バージョンの Syslog コンテンツマッピングガイドをご参照ください。
Download Center
DDI から転送される Syslog メッセージにおいて、検出の重大度は以下のように設定されます。
・情報 → 2
・低 → 4
・中 → 6
・高 → 8
例えば、CEF形式の脅威ログにおいて、検出の重大度「低」以上のログに絞る場合は、「Header(severity) 」が 4 以上のログを抽出してください。
