
VPC内(プライベートネットワーク内)で、C1WSのセキュリティイベントをDSA経由でSyslogサーバに転送してみた
こんにちは!クラウド事業本部の吉田です。
C1WS導入支援で、C1WSのセキュリティイベントをSyslogサーバに転送する要件がありました。
保護対象コンピュータと同じプライベートサブネットにSyslogサーバを配置し、Syslogサーバにセキュリティイベントを転送しようとしましたが、公式のドキュメントに気になる記載がありました。
お使いのSyslogサーバはインターネット経由でアクセス可能であり、そのドメイン名はグローバルにDNS解決可能でなければなりません。
Workload Security イベントをSyslogまたはSIEMサーバに転送する## イベント転送ネットワークトラフィックを許可する
ただ、感覚的には同じVPC内(プライベートネットワーク内)なら、Syslogサーバにインターネット経由でアクセスできなくなくても、保護対象コンピューター経由(DSA経由)でSyslogサーバにセキュリティイベントを転送できそうな気がします。
その検証結果をブログとしてまとめてみました。
構成
- DSAインストール用サーバ(保護対象コンピュータ)
- DSAをインストールするインスタンス。DSA経由でセキュリティイベントをsyslogサーバに転送する
- OSはWindows server 2022
- プライベートサブネットに配置。NatGatewayによってインターネットアクセス可能
- Syslogサーバ
- DSAから転送されたセキュリティイベントを受信するSyslogサーバ
- OSは、RedHat Enterprise Linux 9
- セキュリティイベントを受信できるように、セキュリティグループのインバウンドルールにUDP514(ソース:DSAインストール用サーバー用セキュリティグループ)を追加
- DSAインストール用サーバーと同じプライベートサブネットに配置
DSM作業
Syslog設定作成
下記のドキュメントを元に、DSM上でSyslog設定を定義していきます。
Workload Security イベントをSyslogまたはSIEMサーバに転送する## Syslog設定の定義
「ポリシー」→「共通オブジェクト」→「その他」→「Syslog設定」でSyslog設定画面に移動し、「新規」→「新規作成」をクリックしSyslog設定を作成します
以下の設定で、Syslog設定を作成します。
- サーバ名
- SyslogサーバのプライベートIP
- サーバのポート
- 514
- トランスポート
- UDP
- イベント形式
- Common Event Format
- ファシリティ
- ローカル0(デフォルト値)
- Agentによるログ設定方法
- Syslogサーバに直接
ポリシーにSyslog設定を関連付け
保護対象コンピューターに紐づけられているポリシーに、作成したSyslog設定を関連付けます。
ポリシー一覧から、更新するポリシーをクリックします。
「設定」→「イベントの転送」で、セキュリティイベント転送設定画面に移動します。
「イベント転送設定 (Agent/Applianceから)」で、転送したいセキュリティイベントに作成したSyslog設定を設定します。
Syslogサーバ作業
下記のドキュメントを参考にして、SyslogサーバでSyslog設定を更新します。
Red Hat Enterprise Linuxでイベントログを受信するための設定 · Customer Self-Service
rootに切り替えます。
sudo su -
514ポートでセキュリティイベントを受信できるように、/etc/rsyslog.conf
を修正します。
vi /etc/rsyslog.conf
---修正前---
#module(load="imudp")
#input(type="imudp" port="514")
#module(load="imtcp")
#input(type="imtcp" port="514")
---修正前---
---修正後---
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")
---修正後---
rsyslog.conf
の末尾に、次の2行を追記します。
DMS上のSyslog設定でファシリティを変更している場合は、Local0
の箇所を適宜修正してください。
#マネージャログをDSM.logに保存
Local0.* /var/log/DSM.log
syslogを再起動します。
systemctl restart rsyslog
動作確認
では、動作確認をしていきましょう。
EICARテストファイルをDSAインストール用サーバに置いてみようと思います。
// テスト用ディレクトリ(tmp)を作成
mkdir tmp
// テスト用ディレクトリに移動
cd tmp
// EICAR テストファイルをダウンロード
Invoke-WebRequest -Uri "https://secure.eicar.org/eicar.com.txt" -OutFile "eicar.com.txt"
// 不正プログラム対策機能によりリアルタイムで退避されるため、ファイルが存在しないことを確認
Get-ChildItem
Syslogサーバでログを確認しましょう。
無事セキュリティイベントが転送できていますね!
[root@ip-10-0-2-57 log]# cat /var/log/DSM.log
Jul 3 04:43:04 EC2AMAZ-OVAE5QR CEF: 0|Trend Micro|Deep Security Agent|20.0.2.12290|4000000|Eicar_test_file|6|cn1=106585 cn1Label=Host ID dvc=10.0.2.184 TrendMicroDsTenant=[TENANT-MASKED] TrendMicroDsTenantId=[TENANT-ID-MASKED] cn2=215 cn2Label=Quarantine File Size filePath=C:\\Windows\\System32\\tmp\\eicar.com.txt act=Delete msg=Realtime TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTargetType=N/A TrendMicroDsFileMD5= TrendMicroDsFileSHA1=3395856CE81F2B7382DEE72602F798B642F14140 TrendMicroDsFileSHA256= TrendMicroDsProcessImagePath= TrendMicroDsProcessPid=0
さいごに
おそらく、下記のドキュメントの記載内容は、DSA経由の転送を想定しておらずDSM経由の転送時の制約の話をしているものと思われます。
お使いのSyslogサーバはインターネット経由でアクセス可能であり、そのドメイン名はグローバルにDNS解決可能でなければなりません。
Workload Security イベントをSyslogまたはSIEMサーバに転送する## イベント転送ネットワークトラフィックを許可する
セキュリティイベントをSyslogサーバに転送する場合、UDP・DSA経由で転送するのが一番簡単だと思われます。
(プライベートネットワーク内の転送に限ります。
インターネット経由による転送は、必ずTLSを利用するようにしてください。)
しかし、UDPの場合、転送するセキュリティイベントのメッセージは64KBに制限され、データが切り捨てられる可能性があります。
UDP・TLSどちらでセキュリティイベントを転送するかは、よく検討する必要があります。
以上、クラウド事業本部の吉田でした!