複数のカスタマー向けのSIEM転送計画の作成
時間を節約するために、単一の汎用SIEM転送計画を作成し、複数のカスタマーに適用することができます。この場合、各参加カスタマーのために、書き込みデバイスおよびデータを保管するデバイスとして機能する保護された Acronis デバイスを選択する必要があります。
複数のカスタマー向けの一般的なSIEM転送計画を作成するには
-
[作成] をクリックします。
-
計画のデフォルト名を変更します。
-
ペンシルアイコンをクリックします。
-
名前を編集します。
-
チェックマークをクリックして変更を受け入れます。
-
-
SIEM転送計画の[方法]を選択します。
-
[ファイル]
この方法は、Windows または Linux デバイスをライターデバイスとして使用できます。
-
[Syslogサーバー]
この方法は、Linux デバイスのみをライターデバイスとして使用できます。
詳細については、SIEM転送計画方法を参照してください。
-
-
ファイル方法
-
[カスタマー]フィールドをクリックします。
すべてのカスタマーのリストが表示されます。各カスタマーには、対応するWindowsおよびLinux保護デバイスのドロップダウンリストがあります。
ドロップダウンリストに表示されるには、デバイスにAcronisエージェントがインストールされており、オンラインである必要があります。
-
ドロップダウンリストから、新しいSIEM転送計画
を適用したい各カスタマーのライターデバイスを選択します。SIEM 転送計画が正しく機能するためには、ライターデバイスは常にオンラインである必要があります。
ライターデバイスを指定しないカスタマーは、新しいSIEM転送計画を使用しません。
-
[完了] をクリックします。
-
ライターデバイス上のSIEMデータストアのデフォルトファイルパス値を変更するには[指定]をクリックし、[完了]をクリックします。
指定されたディレクトリがSIEM転送デバイスから削除された場合、削除されたディレクトリを復元するか、有効なディレクトリにファイルパスを変更するまで、SIEM転送は停止します。
Syslogサーバー方法
-
[カスタマー]フィールドをクリックします。
すべてのカスタマーのリストが表示されます。各カスタマーには、対応するLinux保護デバイスのドロップダウンリストがあります。
ドロップダウンリストに表示されるには、デバイスにAcronisエージェントがインストールされており、オンラインである必要があります。
-
ドロップダウンリストから、新しいSIEM転送計画を適用したい各カスタマーのライターデバイスを選択します。
SIEM 転送計画が正しく機能するためには、ライターデバイスは常にオンラインである必要があります。
ライターデバイスを指定しないカスタマーは、新しいSIEM転送計画を使用しません。
-
[完了] をクリックします。
-
-
ファイル形式を変更します。
-
CEF (デフォルト)
セキュリティイベントと詳細なイベント分析のために設計された、ベンダーに依存しない標準化された形式。
-
JSON
カスタムで複雑なデータを可能にする非常に柔軟な形式。現代のログ管理プラットフォームに最適です。
詳細については、SIEMデータ形式と例を参照してください。
-
-
SIEM 転送計画に含める Acronis データタイプを選択します。
デフォルトでは、利用可能なすべての Acronis データタイプが含まれています。
-
[データ]フィールドをクリックします。
-
SIEM転送計画に含めたくない Acronis データタイプのチェックボックスをオフにしてください。Acronisデータタイプは以下のとおりです。
-
アラート
迅速な対応が必要な重要またはエラーメッセージのアップデート。
-
イベント
システムパフォーマンスとユーザーインタラクションに関するインサイトを含むイベントログデータ。
-
アクティビティ
すべての成功、情報、警告、重要、およびエラーメッセージ(例: DLP、URLフィルタリング、バックアップ)。
-
監査ログ
組織の安全性と整合性に影響を及ぼす可能性のある内部セキュリティ関連イベント。
ファイル方式を使用する場合、監査ログ データを HIPAA コンプライアンスの目的で保存できます。
-
-
[完了] をクリックします。
-
-
完了したら、 [作成] をクリックします。