メモ書き程度で

linuxならrsyslogなりでsyslogサーバできるんだけども、

今回、DSAが動いてるwindowsでローカルに検知イベントを飛ばせないかなと思い聞いて回ったら、文献見つけたのでそれ参考にDSのログを吐き出してみた。

参考文献:https://cloudpack.media/21537

PowerShellでsyslogサーバ

大まかなやり方:

①参考文献記載のPowerShell動かす。

②DS側でイベントの転送設定を行う。

 →送信元IDは、識別できるものを入れるといいかと。

 →サーバ名は、ホスト名とかIPを入れる。

 →イベント形式 common event format

 →Agentによるログ転送方法:はsyslogサーバに直接

細かい設定は、FAQ見て。

https://help.deepsecurity.trendmicro.com/ja-jp/siem-syslog-forwarding-secure.html

③イベント転送設定 (Agent/Applianceから)で設定した機能にて検知テストなりする。

④syslogサーバ側でイベントが書き込まれてるかチェック。

 書き込まれてればOK。

元記事はこちら

【DeepSecurity】windows上でDSのイベントを受ける【イベントの転送】]」