ログ収集の基礎

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

ログ収集の仕組み

Log Collectorサービスは、組織内のIT環境にあるイベント ソースからログを収集して他のNetWitness Suiteコンポーネントに転送します。ログは、メタ データとともに格納され、調査やレポートに使用することができます。

イベント ソースとは、サーバ、スイッチ、ルータ、ストレージ アレイ、オペレーティング システム、ファイアウォールなど監視対象となるネットワーク上の資産を指します。多くの場合、IT部門がLog Collectorサービスにログを送信するためにイベント ソースを構成し、NetWitness Suite管理者は、イベント ソースをポーリングしてログを取得するためにLog Collectorサービスを構成します。Log Collectorは、元の形式のまますべてのログを受信します。

収集プロトコル

RSA NetWitness Suiteは、さまざまなイベント ソースからログを収集できます。特定のイベント ソースに対してログ収集を構成している場合、まず、ログの収集に使用するプロトコルを理解する必要があります。

                                                       
収集プロトコル説明
Check Point

OPSEC LEAを使用してCheck Pointイベント ソースからイベントを収集します。OPSEC LEAは、ログの抽出を容易にするためのCheck Point Operations Security Log Export APIです。詳細については、「NetWitness SuiteでのCheck Pointイベント ソースの構成」を参照してください。

ファイル

ログ ファイルからイベントを収集します。イベント ソースはログ ファイルを生成します。このファイルは、セキュアなファイル転送方式を使用してLog Collectorサービスに転送されます。

詳細については、「NetWitness Suiteでのファイル イベント ソースの構成」を参照してください。

Netflow

Netflow v5およびNetflow v9からイベントを受け入れます。詳細については、「NetWitness SuiteでのNetflowイベント ソースの構成」を参照してください。

ODBC

ODBC(Open Database Connectivity)ソフトウェア インタフェースを使用して、イベント ソースとして構成されたデータベースの監査データからイベントを収集します。詳細については、「NetWitness SuiteでのODBCイベント ソースの構成」を参照してください。

プラグイン

プラグイン収集は、他の言語で記述された外部スクリプトを使用してイベントを収集するための一般的な収集フレームワークです。RSAは、現在AWS(Amazon Web Services)CloudTrailとMicrosoft Azureに対する収集機能を提供します。

お客様はこのフレームワークを使用して、独自の収集プロトコルを開発できます。

SDEE

IDS(侵入検知システム)およびIPS(侵入防止サービス)のメッセージを収集します。
詳細については、「NetWitness SuiteでのSDEEイベント ソースの構成」を参照してください。

SNMPトラップ

SNMPトラップを収集します。詳細については、「NetWitness SuiteでのSNMPイベント ソースの構成」を参照してください。

Syslog

Syslogメッセージを発行するイベント ソースからのメッセージを収集します。詳細については、「リモートCollectorのSyslogイベント ソースの構成」を参照してください。

注:Syslogの収集はローカルLog Collectorに対して構成しないでください。リモートCollectorに対してのみ、Syslogの収集を構成する必要があります。

VMware

VMware仮想インフラストラクチャからのイベントを収集します。詳細については、「NetWitness SuiteでのVMwareイベント ソースの構成」を参照してください。

Windows

Microsoft Windows イベントAPIをサポートするWindowsマシンからのイベントを収集します。Windows NT 6.0系(Microsoft Windows VistaとWindows Server 2008)のオペレーティング システムでサポートされている、イベント ログとトレースのフレームワークを使用します。詳細については、「NetWitness SuiteでのWindowsイベント ソースの構成」を参照してください。

Windows Legacy

次のソースからのイベントを収集します。

  • Windows 2000やWindow 2003などWindowsの古いバージョン。RSA enVisionでの収集用に構成されたWindowsイベント ソースからデータを収集でき、再構成を行う必要はありません。
  • NetApp ONTAPアプライアンス イベント ソース。NetApp .evtファイルを収集してパースできます。
  • 詳細については、「Windows Legacy収集およびNetApp収集の構成」を参照してください。

注:SALegacyWindowsCollector-version-number.exeを使用して、NetWitness Suite Windows Legacy Collectorを物理または仮想のWindows Server 2008 R2 SP1 64ビット版にインストールします。

Previous Topic:証明書の構成
You are here
Table of Contents > ログ収集の基礎

Attachments

    Outcomes