Microsoft Sentinel 用 Trend Micro Deep Security コネクタ

Trend Micro Deep Security コネクタを使うと、Microsoft Sentinel に Deep Security ログを簡単に接続して、ダッシュ ボードを表示し、カスタム アラートを作成し、調査を向上させることができます。 これにより、組織のネットワークおよびシステムに関するより詳細な分析情報が得られ、セキュリティ運用機能が向上します。

コネクタの属性

コネクタ属性 説明
Kusto 関数 URL https://aka.ms/TrendMicroDeepSecurityFunction
Log Analytics テーブル CommonSecurityLog (TrendMicroDeepSecurity)
データ収集ルールのサポート ワークスペース変換 DCR
サポートしているもの Trend Micro

クエリのサンプル

侵入防止イベント


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Intrusion Prevention"
         
| sort by TimeGenerated

整合性の監視イベント


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Integrity Monitoring"
         
| sort by TimeGenerated

ファイアウォール イベント


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Firewall Events"
         
| sort by TimeGenerated

ログ検査イベント


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Log Inspection"
         
| sort by TimeGenerated

マルウェア対策イベント


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Anti-Malware"
         
| sort by TimeGenerated

Web 評価イベント


TrendMicroDeepSecurity

         
| where DeepSecurityModuleName == "Web Reputation"
         
| sort by TimeGenerated

ベンダーのインストール手順

  1. Linux Syslog エージェントの構成

Linux エージェントをインストールし、Common Event Format (CEF) Syslog メッセージを収集して Microsoft Sentinel に転送するようにエージェントを構成します。

すべてのリージョンのデータが選択したワークスペースに格納されることに注目してください

1.1 Linux コンピューターを選択または作成する

Microsoft Sentinel によって、セキュリティ ソリューションと Microsoft Sentinel の間のプロキシとして使用される Linux コンピューターを選択または作成します。このコンピューターは、オンプレミス環境、Azure またはその他のクラウド上に配置することができます。

1.2 Linux コンピューターに CEF コレクターをインストールする

Linux コンピューターに Microsoft Monitoring Agent をインストールし、必要なポートでリッスンして Microsoft Sentinel ワークスペースにメッセージを転送するようにコンピューターを構成します。 CEF コレクターにより、ポート 514 TCP で CEF メッセージが収集されます。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します。
  1. マシンに対する管理者特権のアクセス許可 (sudo) が必要です。

次のコマンドを実行し、CEF コレクターをインストールして適用します。

sudo wget -O cef_installer.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_installer.py&&sudo python cef_installer.py {0} {1}

  1. Trend Micro Deep Security ログを Syslog エージェントに転送します

  2. Syslog メッセージを CEF 形式でプロキシ マシンに送信するように、セキュリティ ソリューションを設定します。 必ず、マシンの IP アドレスのポート 514 TCP にログを送信します。

  3. Trend Micro Deep Security イベントを Syslog エージェントに転送します。

  4. このナレッジ記事で詳細を参照して、CEF 形式を使う新しい Syslog 構成を定義します。

  5. この新しい構成を使って Syslog エージェントにイベントを転送するように、こちらの手順を実行して Deep Security Manager を構成します。

  6. TrendMicroDeepSecurity 関数を保存して、Trend Micro Deep Security データのクエリを正しく実行するようにします。

  7. 接続の検証

手順に従って接続を検証します。

Log Analytics を開き、CommonSecurityLog スキーマを使用してログが受信されているかどうかを確認します。

接続によってデータがワークスペースにストリーミングされるまで約 20 分かかる場合があります。

ログが受信されない場合は、次の接続検証スクリプトを実行します。

  1. コマンド python -version を使用して、コンピューターに Python がインストールされていることを確認します
  1. コンピューターに対する管理者特権のアクセス許可 (sudo) が必要です

次のコマンドを実行して、接続を検証します。

sudo wget -O cef_troubleshoot.py https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py {0}

  1. コンピューターをセキュリティで保護する

必ず、組織のセキュリティ ポリシーに従ってコンピューターのセキュリティを構成してください

詳細情報 >

次の手順

詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。