VPC内(プライベートネットワーク内)で、C1WSのセキュリティイベントをDSA経由でSyslogサーバに転送してみた

VPC内(プライベートネットワーク内)で、C1WSのセキュリティイベントをDSA経由でSyslogサーバに転送してみた

Clock Icon2025.07.06

こんにちは!クラウド事業本部の吉田です。

C1WS導入支援で、C1WSのセキュリティイベントをSyslogサーバに転送する要件がありました。
保護対象コンピュータと同じプライベートサブネットにSyslogサーバを配置し、Syslogサーバにセキュリティイベントを転送しようとしましたが、公式のドキュメントに気になる記載がありました。

お使いのSyslogサーバはインターネット経由でアクセス可能であり、そのドメイン名はグローバルにDNS解決可能でなければなりません。

Workload Security イベントをSyslogまたはSIEMサーバに転送する## イベント転送ネットワークトラフィックを許可する

ただ、感覚的には同じVPC内(プライベートネットワーク内)なら、Syslogサーバにインターネット経由でアクセスできなくなくても、保護対象コンピューター経由(DSA経由)でSyslogサーバにセキュリティイベントを転送できそうな気がします。

その検証結果をブログとしてまとめてみました。

構成

vscode-drop-1751766007768-pq3ddlzwild.png

  • DSAインストール用サーバ(保護対象コンピュータ)
    • DSAをインストールするインスタンス。DSA経由でセキュリティイベントをsyslogサーバに転送する
    • OSはWindows server 2022
    • プライベートサブネットに配置。NatGatewayによってインターネットアクセス可能
  • Syslogサーバ
    • DSAから転送されたセキュリティイベントを受信するSyslogサーバ
    • OSは、RedHat Enterprise Linux 9
    • セキュリティイベントを受信できるように、セキュリティグループのインバウンドルールにUDP514(ソース:DSAインストール用サーバー用セキュリティグループ)を追加
    • DSAインストール用サーバーと同じプライベートサブネットに配置

DSM作業

Syslog設定作成

下記のドキュメントを元に、DSM上でSyslog設定を定義していきます。

Workload Security イベントをSyslogまたはSIEMサーバに転送する## Syslog設定の定義

「ポリシー」→「共通オブジェクト」→「その他」→「Syslog設定」でSyslog設定画面に移動し、「新規」→「新規作成」をクリックしSyslog設定を作成します

vscode-drop-1751766082087-9za4997qcht.png

以下の設定で、Syslog設定を作成します。

  • サーバ名
    • SyslogサーバのプライベートIP
  • サーバのポート
    • 514
  • トランスポート
    • UDP
  • イベント形式
    • Common Event Format
  • ファシリティ
    • ローカル0(デフォルト値)
  • Agentによるログ設定方法
    • Syslogサーバに直接

vscode-drop-1751766101423-0wopnp25mov.png

ポリシーにSyslog設定を関連付け

保護対象コンピューターに紐づけられているポリシーに、作成したSyslog設定を関連付けます。

ポリシー一覧から、更新するポリシーをクリックします。

vscode-drop-1751766165942-30qww3pi6yy.png

「設定」→「イベントの転送」で、セキュリティイベント転送設定画面に移動します。
「イベント転送設定 (Agent/Applianceから)」で、転送したいセキュリティイベントに作成したSyslog設定を設定します。

vscode-drop-1751766223730-bnzk82enihg.png

Syslogサーバ作業

下記のドキュメントを参考にして、SyslogサーバでSyslog設定を更新します。

Red Hat Enterprise Linuxでイベントログを受信するための設定  · Customer Self-Service

rootに切り替えます。

sudo su -

514ポートでセキュリティイベントを受信できるように、/etc/rsyslog.confを修正します。

vi /etc/rsyslog.conf
修正内容
---修正前---
 #module(load="imudp")
 #input(type="imudp" port="514")

 #module(load="imtcp")
 #input(type="imtcp" port="514")
---修正前---
---修正後---
 module(load="imudp")
 input(type="imudp" port="514")

 module(load="imtcp")
 input(type="imtcp" port="514")
 ---修正後---

vscode-drop-1751766513428-9834eci08ik.png

rsyslog.confの末尾に、次の2行を追記します。
DMS上のSyslog設定でファシリティを変更している場合は、Local0の箇所を適宜修正してください。

#マネージャログをDSM.logに保存
Local0.* /var/log/DSM.log

syslogを再起動します。

systemctl restart rsyslog

動作確認

では、動作確認をしていきましょう。
EICARテストファイルをDSAインストール用サーバに置いてみようと思います。

引用手順
// テスト用ディレクトリ(tmp)を作成
mkdir tmp

// テスト用ディレクトリに移動
cd tmp

// EICAR テストファイルをダウンロード
Invoke-WebRequest -Uri "https://secure.eicar.org/eicar.com.txt" -OutFile "eicar.com.txt"

// 不正プログラム対策機能によりリアルタイムで退避されるため、ファイルが存在しないことを確認
Get-ChildItem

引用:【小ネタ】 Windows Server に導入した Cloud One Workload Security 不正プログラム対策機能の動作確認を EICAR テストファイルで実施する手順 | DevelopersIO

Syslogサーバでログを確認しましょう。
無事セキュリティイベントが転送できていますね!

[root@ip-10-0-2-57 log]# cat /var/log/DSM.log
Jul 3 04:43:04 EC2AMAZ-OVAE5QR CEF: 0|Trend Micro|Deep Security Agent|20.0.2.12290|4000000|Eicar_test_file|6|cn1=106585 cn1Label=Host ID dvc=10.0.2.184 TrendMicroDsTenant=[TENANT-MASKED] TrendMicroDsTenantId=[TENANT-ID-MASKED] cn2=215 cn2Label=Quarantine File Size filePath=C:\\Windows\\System32\\tmp\\eicar.com.txt act=Delete msg=Realtime TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTargetType=N/A TrendMicroDsFileMD5= TrendMicroDsFileSHA1=3395856CE81F2B7382DEE72602F798B642F14140 TrendMicroDsFileSHA256= TrendMicroDsProcessImagePath= TrendMicroDsProcessPid=0

さいごに

おそらく、下記のドキュメントの記載内容は、DSA経由の転送を想定しておらずDSM経由の転送時の制約の話をしているものと思われます。

お使いのSyslogサーバはインターネット経由でアクセス可能であり、そのドメイン名はグローバルにDNS解決可能でなければなりません。

Workload Security イベントをSyslogまたはSIEMサーバに転送する## イベント転送ネットワークトラフィックを許可する

セキュリティイベントをSyslogサーバに転送する場合、UDP・DSA経由で転送するのが一番簡単だと思われます。
(プライベートネットワーク内の転送に限ります。
インターネット経由による転送は、必ずTLSを利用するようにしてください。)
しかし、UDPの場合、転送するセキュリティイベントのメッセージは64KBに制限され、データが切り捨てられる可能性があります。
UDP・TLSどちらでセキュリティイベントを転送するかは、よく検討する必要があります。

以上、クラウド事業本部の吉田でした!

参考記事

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.