SA構成:グローバル監査ログ テンプレートの定義

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、グローバル監査ログに使用する監査ログ テンプレートを定義する手順について説明します。グローバル監査ログを構成する前に、Syslog通知サーバを構成し、監査ログ テンプレートを選択します。デフォルトの監査ログ テンプレートの使用を選択することも、独自のテンプレートを定義することもできます。 

Security Analyticsバージョン10.5には、次の2つのデフォルトの監査ログ テンプレートが用意されています。

  • 10.5 Default Audit CEF Template:このテンプレートは、Log Decoderおよびサード パーティのSyslogサーバに使用できます。
  • 10.5 Default Audit Human-Readable Format:このテンプレートは、サード パーティのSyslogサーバにのみ使用できます。このテンプレートを使用してLog Decoderにメッセージを転送しないでください。

最初の手順では、Log Decoder用の監査ログ テンプレートを定義する手順を示します。監査ログ テンプレートは、Log Decoderまたはサード パーティのSyslogサーバに送信される監査ログの形式およびメッセージ フィールドを定義します。

Log Decoderで使用するグローバル監査ログ テンプレートを定義する場合は、CEF(Common Event Format)を使用し、次の特定の標準要件を満たす必要があります。

  • テンプレートにCEFヘッダーを含める。
  • サポートされるCEFメタ キー 」の表にある拡張キー(キー=値)のみを使用する。
  • 拡張キーの形式がkey=${string}<space>key=${string}になっている。 

2つ目の手順では、サード パーティのSyslogサーバ用のヒューマンリーダブル形式のカスタム グローバル監査ログ テンプレートを定義する手順を示します。サード パーティのSyslogサーバの場合は、独自の形式(CEFまたはCEF以外)を定義することができます。

Log Decoder用のグローバル監査ログ テンプレートの定義

10.5 Default Audit CEF Templateを使用して、グローバル監査ログをLog Decoderに送信できます。独自のテンプレートを定義する場合は、次の手順に従います。

  1. Security Analyticsメニューで、[Administration]>[システム]を選択します。
  2. [オプション]パネルで、[グローバル通知]を選択します。
  3. テンプレート]タブをクリックします。
  4. をクリックして、テンプレートを構成します。
  5. テンプレートの定義]ダイアログで、次の情報を指定します。
    1. 名前]フィールドに、テンプレートの名前を入力します。
    2. テンプレート タイプ]フィールドで、[監査ログ]テンプレート タイプを選択します。
    3. 説明]フィールドに、テンプレートの簡単な説明を入力します。
    4. テンプレート]フィールドで、監査ログ テンプレートの形式を入力します。
      次の例は、カスタマイズした形式のテンプレートです。デフォルトのCEFテンプレートと異なります。
       CEF:0|${deviceVendor}|${deviceProduct}|${deviceVersion}|${category}|${oper ation}|${severity}| rt=${timestamp} src=${sourceAddress} spt=${sourcePort} suser=${identity} sourceServiceName=${deviceService} deviceExternalId=${deviceExternalId} dst=${destinationAddress} dpt=${destinationPort} dvcpid=${deviceProcessId} deviceProcessName=${deviceProcessName} outcome=${outcome} msg=${text}  
      ハイライト表示されたCEF Syslogヘッダーは、CEF基準に適合するために必要であり、Log DecoderのCEF Parserの要件です。その他のキーはオプションで、変更可能です。Log DecoderのCEF Parserがサポートするすべてのメタ キーについては「 サポートされるCEFメタ キー 」の表を参照してください。

注:すべての拡張キーは次の形式で記述します。 
deviceProcessName=${deviceProcessName} outcome=${outcome}
拡張キー セクションの各key=${string}ペアの間に1文字の<space>を含めます。 

  1. Saveをクリックします。

CEF監査ログ テンプレートを定義した後で、Liveの最新のCEF(Common Event Format)Parserを導入し、有効化したことを確認します。「Liveリソースの検索と導入」と「ログParserの有効化と無効化」で手順を説明しています。 

注:Investigationとレポートで特定のメタ キーを使用する必要がある場合は、選択したメタ キーのインデックス作成が有効になっていることをLog Decoderのtable-map.xmlファイルで確認します。インデックスが作成されていない場合は、「ホストおよびサービス スタート ガイド」の「テーブル マップ ファイルの維持」の手順に従って、テーブル マッピングを更新します。また、メタ キーのインデックス作成がConcentratorのindex-concentrator.xmlでも有効になっていることを確認します。「ホストおよびサービス スタート ガイド」の「サービス インデックス ファイルの編集」に追加情報が記載されています。

カスタム グローバル監査ログ テンプレートの定義

サード パーティのSyslogサーバの場合は、独自のテンプレート形式(CEFまたはCEF以外)を定義できます。10.5 Default Audit Human-Readable Formatテンプレートを使用して、CEF形式より判読しやすい形式で、グローバル監査ログをサード パーティのSyslogサーバに送信できます。ヒューマンリーダブル形式の独自のテンプレートを定義する場合は、次の手順に従ってください。

Log Decoderの場合、CEFテンプレートを使用し、いくつかの必須条件を満足する必要があります。前述の「Log Decoder用のグローバル監査ログ テンプレートの定義」に、CEF形式のテンプレートを作成する手順が記載されています。

ヒューマンリーダブル形式でカスタム グローバル監査ログ テンプレートを定義するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[システム]を選択します。
  2. [オプション]パネルで、[グローバル通知]を選択します。
  3. テンプレート]タブをクリックします。
  4. をクリックして、テンプレートを構成します。
  5. テンプレートの定義]ダイアログで、次の情報を指定します。
    1. 名前]フィールドに、テンプレートの名前を入力します。
    2. テンプレート タイプ]フィールドで、[監査ログ]テンプレート タイプを選択します。
    3. 説明]フィールドに、テンプレートの簡単な説明を入力します。
    4. テンプレート]フィールドで、監査ログ テンプレートの形式を入力します。次の例では、選択したメタキー変数をヒューマンリーダブル形式で指定しています。
       ${timestamp} ${deviceService} [audit] Event Category: ${category} Operation: ${operation} Outcome: ${outcome} Description: ${text} User: ${identity} Role: ${userRole}  
      グローバル監査ログでサポートされるメタ キー変数 」の表に示されているメタ キー変数のいずれも使用できます。
  6. Saveをクリックします。

次の例は、このテンプレートを使用したヒューマンリーダブル形式のグローバル監査ログを示しています。

06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: Set Outcome: null Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 REPORTING_ENGINE [audit] Event Category: CONFIGURATION Operation: IPDBConfig Outcome: SUCCESS Description: Config update event occurred User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

Apr 06 2015 14:16:04 SA_SERVER [audit] Event Category: DATA_ACCESS Operation: /admin/1/config Outcome: Success Description: null User: admin Role: Administrators+Administrators+PRIVILEGED_CONNECTION_AUTHORITY

次のステップ

グローバル監査ログの構成の定義 Security Analyticsのグローバル監査ログ構成を定義する手順について説明します。

You are here
Table of Contents > 標準的な手順 > グローバル監査ログの構成 > グローバル監査ログ テンプレートの定義

Attachments

    Outcomes