デセプション
SyslogのSIEM構成ガイド
この記事では、イベントまたは監査ログをSyslogセキュリティ情報およびイベント管理(SIEM)サーバーに転送するためのService Connectorの設定方法と前提条件について説明します。
前提条件
Syslogにログを転送するようにサービス コネクターを設定する前に、次のことを確認してください。
- Syslogがリスンしているのポート上のSyslogサーバーとサービス コネクタとの間にネットワーク接続があること。
Syslogサーバーの設定に応じて、TCPまたはUDPプロトコルを使用します。
Zscalerでは、TCPプロトコルを使用して、UDPプロトコルの信頼性の低さ、フレーム制限、およびフラグメント化されたパケットに関する問題を回避することをお勧めします。
Syslog SIEMにイベントを転送するためのサービス コネクターの設定
イベントまたは監査ログをSyslog SIEMサーバーに転送するようにサービス コネクターを設定するには、以下の手順を実行します。
- Zscaler デセプションの管理ポータルで、[オーケストレーション]>[SIEM統合]に移動します。
[統合の追加]をクリックし、ドロップダウンメニューから[Syslog]を選択します。
- [Syslogの詳細]ウィンドウで、次の操作を行います。
- 名前:Syslog SIEM統合の名前を入力します。
- 有効:SIEM統合を有効にする場合に選択します。
- [Service Connector]: ドロップダウン メニューからService Connectorを選択します。
- デセプションの管理ポータルで設定されているService Connectorを選択すると、管理ポータルはログをSyslogに送信します。
- Decoy Connectorに構成されているService Connectorを選択した場合、選択したDecoy ConnectorがログをQRadarに送信します。
- [ログのタイプ]:ドロップダウン メニューからオプションを選択します。
- [イベント]:イベントをSyslogに送信します。
- [監査ログ]:監査ログをSyslogに送信します。
- [安全なイベントを含める]:安全であるとマークされたイベントをSyslogに転送できるようにします。
[フィルター]:フィルター処理されたイベント ログをSyslogに送信する場合は、クエリーを指定します。このフィールドが空白の場合、すべてのイベント ログがSyslogに送信されます。クエリーの作成方法については、クエリーの理解と作成を参照してください。
[フィルター]のオプションは、イベント ログに対してのみ利用できます。
- ホスト:SyslogサーバーのIPアドレスを入力します。
- ポート:Syslogサーバーがリッスンしているポート番号を入力します。
- トランスポート:[TCP]または[UDP]を選択します。
- 施設:ドロップダウンメニューから施設コード(システムなど)を選択します。各イベントには、イベントログを生成するソフトウェアの種類を示すファシリティコードのラベルが付けられます。
- 重大度:重大度レベル(重大など)を選択します。各イベントには、イベントログを生成するツールの重大度を示す重大度のラベルが付けられます。
[アプリ名]:ログ識別子を入力します(
Zscaler デセプションなど)。
保存 をクリックします。
Syslogサーバー統合が追加されます。
![[Syslog SIEM統合の追加]オプション](/downloads/deception/orchestrate/siem-integrations/deception-and-syslog-server-deployment-guide/zscaler-deception-add-siem-integration-syslog.png "[Syslog SIEM統合の追加]オプション")
Syslogサーバーの統合をテストするには、デコイにアクセスし、Zscaler デセプションダッシュボードでアラートを生成します。
Syslogサーバーで次のコマンドを実行します。
tcpdump -n host <IP address of the Service Connector>Syslogサーバーはイベントログを受信します。