share facebook facebook twitter menu hatena pocket slack

2019.09.24 TUE

【DeepSecurity】windows上でDSのイベントを受ける【イベントの転送】

稲田 一樹

WRITTEN BY 稲田 一樹

メモ書き程度で

linuxならrsyslogなりでsyslogサーバできるんだけども、

今回、DSAが動いてるwindowsでローカルに検知イベントを飛ばせないかなと思い聞いて回ったら、文献見つけたのでそれ参考にDSのログを吐き出してみた。

参考文献:https://cloudpack.media/21537

PowerShellでsyslogサーバ

大まかなやり方:

①参考文献記載のPowerShell動かす。

②DS側でイベントの転送設定を行う。

 →送信元IDは、識別できるものを入れるといいかと。

 →サーバ名は、ホスト名とかIPを入れる。

 →イベント形式 common event format

 →Agentによるログ転送方法:はsyslogサーバに直接

細かい設定は、FAQ見て。

https://help.deepsecurity.trendmicro.com/ja-jp/siem-syslog-forwarding-secure.html

③イベント転送設定 (Agent/Applianceから)で設定した機能にて検知テストなりする。

④syslogサーバ側でイベントが書き込まれてるかチェック。

 書き込まれてればOK。

元記事はこちら

【DeepSecurity】windows上でDSのイベントを受ける【イベントの転送】]」

稲田 一樹

稲田 一樹

AWSやlinux初心者向けのブログを更新してます。中の人は、美味しいもの好きなので美味いものあったら教えてください!

cloudpack

cloudpackは、Amazon EC2やAmazon S3をはじめとするAWSの各種プロダクトを利用する際の、導入・設計から運用保守を含んだフルマネージドのサービスを提供し、バックアップや24時間365日の監視/障害対応、技術的な問い合わせに対するサポートなどを行っております。
AWS上のインフラ構築およびAWSを活用したシステム開発など、案件のご相談はcloudpack.jpよりご連絡ください。