Symantec Endpoint 脅威ソース

EventLog Analyzerは、Symantec Endpointからのログデータを処理し、グラフィカルなレポートの形でデータを表示することができます。Symantec Endpointからのログデータの収集を開始するには、Symantec Endpointを脅威ソースとして追加する必要があります。

Symantec Endpoint デバイスを脅威ソースとして追加する方法

Symantec Endpoint デバイスを脅威ソースとして追加するためには、Syslogサービスを設定する必要があります。

1. 管理者としてSymantec Endpoint Protectionデバイスにログインします。
2. Admin > Servers に移動します。ログデータのエクスポート元として、local siteかremote siteを選択します。
3. Configure External Logging をクリックします。
4. General タブの Update Frequency リストより、ログデーターをファイルに送る頻度を選択します。
5. Master Logging Server リストより、ログの送信先とするmanagement serverを選択します。
6. Enable Transmission of Logs to a Syslog Server オプションにチェックを入れます。
7. 以下の情報を入力します。
• Syslog Server- EventLog AnalyzerサーバーのIPアドレスまたはドメイン名を入力します。
• Destination Port - EventLog AnalyzerサーバーがSyslog受信に使用するプロトコルとポートを指定します。
• Log Facility - Syslog 設定ファイルで使用するFacility（ファシリティ）値を入力します。または、デフォルト値を使用することもできます。有効な値は 0 から 23 です。
8. OK をクリックします。

1. EventLog Analyzerにログイン後、設定 > 脅威ソースの管理 > 脅威ソースの追加に移動します。
2. [既存のホスト]をクリック後、対象デバイスを選択します。
3. [アドオンタイプ]にて、ドロップダウンメニューよりSymantec Endpoint Protectionを選択します。
4. [追加]をクリックします。

脅威ソースの追加後、EventLog Analyzerはログの解析を開始します。ログデータはレポートで確認できます。

レポートは以下の情報を提供します：

• セキュリティリスク
• ウイルス
• ポートスキャン
• 商用アプリケーションの検出
• 脅威レポート
• HIPS活動レポート

以下のレポートも提供します：

• 影響を受けたホスト
• ソースホスト
• リスク
• 問題