レポート:Reporting EngineでのTCP/TLSを使用したSyslogアラート メッセージの送信

Document created by RSA Information Design and Development Employee on Feb 17, 2017
Version 1Show Document
  • Comment0
  • View in full screen mode
  

このトピックでは、アラートがトリガーされたときに、TLS(Transport Layer Security)を使用してTCP経由でSyslogメッセージを送信できるようにするためのReporting Engineの構成手順について説明します。

前提条件

使用環境にTCP/TLSをサポートしているSyslogサーバが設置され、構成されていることを確認してください。たとえば、WinSyslogなどがこれに該当します。

手順

Reporting EngineからTCP/TLS経由でSyslogアラートが送信されるよう構成するには、次の手順を実行します。

  1. 必要な証明書を入手します。
  2. (オプション)証明書の形式をPEMからJKSに変換します。
  3. Reporting EngineサーバおよびSyslogサーバ用に生成されたキーのペアをコピーします。
  4. Security Analyticsでアラート メッセージの配信を構成

タスク1:必要な証明書を入手

次の手順を実行して、Reporting EngineからTCP/TLS経由でSyslogメッセージを送信するために必要な証明書を作成します。

  1. CA(認証機関)の証明書を作成します。詳細については、http://www.rsyslog.com/doc/tls_cert_ca.htmlを参照してください。

注:使用環境にすでにCAが構成されている場合は、このステップを省略できます。

  1. Reporting Engineサーバ用のキー ペア(公開鍵と秘密鍵)を作成します。詳細については、http://www.rsyslog.com/doc/tls_cert_machine.htmlを参照してください。
  2. Syslogサーバ用のキー ペアを生成します。詳細については、http://www.rsyslog.com/doc/tls_cert_machine.htmlを参照してください。

注:同一のCAによって作成されたキーと証明書を使用してSyslogサーバのセキュリティがすでに構成されている場合は、このステップを省略できます。

タスク2:(オプション)証明書の形式をPEMからJKSに変換

証明書をPEM(Privacy Enhanced Mail)形式で作成した場合は、これをJKS(Java KeyStore)形式に変換する必要があります。Reporting Engineがインストールされているマシンで、次の手順を実行します。
PEM形式の証明書をJKS形式に変換するには、次の手順を実行します。

  1. 既存のPEM形式の証明書をPKCSファイルに変換します。コマンド コンソールで、次のコマンドを実行します。
    openssl pkcs12 -export -in <certificate.pem> -inkey <private_key.pem> -out <sample>.p12 -name re
    -CAfile ca.pem -caname root
    各項目の説明は、次のとおりです。
    • certificate.pem:PEM形式の証明書。
    • private_key.pem:PEM形式の秘密鍵。
    • sample:変換時に作成されるPKCS12ファイル。
    • ca.pem:CA証明書。
  2. 既存のPKCS12ファイルをJKS形式の証明書に変換して、キーストアを作成します。コマンド コンソールで、次のコマンドを実行します。
    keytool -importkeystore -destkeystore<re-keystore.jks> -srckeystore <sample>.p12 -srcstoretype PKCS12 -alias re
    各項目の意味は以下のとおりです。
    • re-keystore.jks:JKS形式の証明書。
    • sample:変換時に作成されるPKCS12ファイル。
    • ca.pem:CA証明書。
  3. CA証明書(ca.pem)をトラストストアに追加します。コマンド コンソールで、次のコマンドを実行します。
    keytool -importcert -alias myca -file <ca.pem> -keystore <re-truststore.jks>
    各項目の意味は以下のとおりです。
    • ca.pem:CA証明書。
    • re-truststore.jks:JKS形式のCA証明書。

注:変換時にキーストアおよびトラスト ストアに指定するパスワードをメモしておいてください。これらのパスワードは、Security AnalyticsでSECURE_TCPを有効にするときに指定する必要があります。

タスク3:生成したキー ペアをコピー

キー ペア(キーストアとトラストストア)を、作成した場所からReporting Engineサーバの /home/rsasoc/rsa/soc>/reporting-engine/keystores/に手動でコピーします。

タスク4:Security Analyticsでアラート メッセージの配信を構成

アラートがトリガーされたときに、Reporting EngineがTLS(Transport Layer Security)を使用してTCP経由でSyslogメッセージを送信するように構成します。Reporting Engineの[サービス]の[構成]ビューにアクセスし、[出力アクション]タブで[SECURE_TCP]を有効にします。詳細については、「ホストおよびサービスの構成ガイド」で「Reporting Engineの[出力アクション]」トピックを参照してください。

Previous Topic:アラートの調査
You are here
Table of Contents > Reportsモジュールのアラートの使用 > Reporting EngineでのTCP/TLSを使用したSyslogアラート メッセージの送信

Attachments

    Outcomes

      Visibility: RSA Security Analytics 10.6 (Japanese)191 Views
      Last modified on Feb 17, 2017 8:58 AM
      Ratings: