概要
セキュリティログ監視の動作確認方法を教えてください。
詳細
セキュリティログ監視の動作確認方法をご紹介します。
※Linuxでの動作確認方法についてはヘルプセンター をご参照ください。
事前準備
ステータスが「管理対象(オンライン)」、セキュリティログ監視に「「オン」または「オフ、インストールされています」が表示されていることを確認してください。
セキュリティログ監視の設定
- Deep Security Manager (以下、DSM)の管理コンソールからセキュリティログ監視 > 一般を表示してください。
- 「セキュリティログ監視」欄で設定を「オン」にしてください。
- 「現在割り当てられているセキュリティログ監視ルール」欄の「割り当て/割り当て解除」をクリックし、画面右上の検索窓に「1002795」を入力した後エンターキーを押してください。
- 検索結果に「1002795 Microsoft Windows Events」が表示されたら、チェックを入れて、画面下の「OK」をクリックしてください。
- 「現在割り当てられているセキュリティログ監視ルール」欄「1002795 Microsoft Windows Events」が表示されていることを確認し、画面下の「保存」をクリックします。
セキュリティログ監視の検知テスト
-
DSMの管理コンソールから、セキュリティログ監視のステータスが「オン」になっていることを確認します。
テスト対象にDeep Security Notifierがインストールされている場合、画面右下タスクトレイに表示されるNotifierをダブルクリックして、セキュリティログ監視の左側のランプが緑色点灯になっていることを確認します。
-
保護対象マシンにログイン後、テスト用ローカルユーザを作成します。(「スタート」-「管理ツール」-「コンピュータの管理」-「ローカルユーザーとグループ」-「ユーザー」)
ローカルユーザー作成例:
・ユーザー名:test
・パスワード:(任意)
- DSMの管理コンソールからセキュリティログ監視 > イベントを表示し、画面下の「イベントの取得」をクリックし、「1002795」のイベントが表示されることを確認してください。
- 検証後、テスト用ローカルユーザを削除してください。
関連リンク
- セキュリティログ監視ルールに登録できるファイルパスの形式
- ポリシーで使用するセキュリティログ監視ルールの定義
※リンク先の画面左上のリストから対象バージョンを選択してください。
※10.0未満のバージョンをご利用の場合は、10.0の手順をご参照ください。 - セキュリティログ監視イベント
※リンク先の画面左上のリストから対象バージョンを選択してください。
※10.0未満のバージョンをご利用の場合は、10.0の手順をご参照ください。
