適用対象: WatchGuard SIEMFeeder。
Microsoft Azure インフラストラクチャから WatchGuard Event Importer がダウンロードする WatchGuard Cloud インフラストラクチャ データを、セキュリティ情報イベント管理 (SIEM) サーバーに送信することができます。Event Importer で、データがログ ファイルの形式で管理されます。SIEM サーバーでログ ファイルが受信されたら、そのログ ファイルを保存および使用して、コンピュータ ネットワークへのセキュリティ脅威となる可能性がある不審なプロセスを検出することができます。
ログ ファイルを管理するには、WatchGuard SIEMFeeder サービスでサポートされているログ形式と互換性のある SIEM サーバーを使用する必要があります。SIEMFeeder サービスを使用するには、Common Event Format (CEF) または Log Event Extended Format (LEEF) がサポートされている SIEM サーバーが必要となります。
サポートされている SIEM サーバー
SIEM サーバーは、CEF または LEEF 形式のデータを受信できるようになっている必要があります。以下に、この 2 つの形式と互換性のある SIEM サーバーの一部が一覧されています。
- AlienVault Unified Security Management (USM)
- Fortinet (AccelOps) FortiSIEM
- Hewlett Packard Enterprise (HPE) ArcSight
- IBM QRadar Security Intelligence Platform
- Intel Security McAfee Enterprise Security Manager (ESM)
- LogRhythm
- SolarWinds Log & Event Manager (LEM)
- Splunk Security Intelligence Platform
既定では、ログは LEEF 形式で送信されます。CEF 形式でログを受信するには、その依頼内容と WatchGuard アカウント番号を記載した電子メール メッセージを [email protected] 宛に送信してください。
SIEM サーバー ログ ファイルへのアクセス
SIEM サーバーでログ ファイルを取得できるようにするには、Event Importer アプリケーションでストレージ チャンネル を構成して、SIEM サーバーが受信するログ ファイルの Event Importer からの送信先を指定します。SIEM サーバーは、以下の保存場所からファイルを取得することができます。
- ローカル フォルダ:Event Importer コンピュータで受信ログが保存される場所。
- Apache Kafka キュー サーバー:Event Importer から送信されたログが収集されるサーバー。
- Syslog サーバー:Event Importer から送信されたログが収集されるサーバー。
ログ ファイルについて
各ログ ファイルの最大サイズは、圧縮形式で 256 KB となります。Event Importer では、構成されている保存場所にログ ファイルが保存されます。各ログ ファイルには、yyyymmdd-hhmm-(xxxxxx) の形式の名前が付けられます。
- yyyy:作成された年。
- mm:作成された月。
- dd:作成された日。
- hh:作成された時間 (時間)。
- mm:作成された時間 (分)。
- –(xxxxxx):Event Importer で 1 分以内に複数のログ ファイルが作成された場合は、追加のログ ファイルにインデックス番号が割り当てられます。
受信データの詳細な説明については、WatchGuard SIEMFeeder イベント ガイド (外部リンク) を参照してください。