セキュリティ情報およびイベント管理 (SIEM) テクノロジーは、ネットワーク ハードウェアおよびソフトウェア コンポーネントによって生成されるセキュリティ アラートに関する情報を収集します。このデータを一元管理して、アクティビティの監視、ログ監査の実施、問題への対応に役立つレポートを作成できます。また、Syslog を使用してイベント ログを送信することにより、Workspace ONE UEM を任意の SIEM ツールと統合できます。
送信されたイベント メッセージは、同じイベント カテゴリを持つ Workspace ONE UEM Console の [イベント ログ] ページに表示されるメッセージと同じです。Syslog の構成時に、コンソール イベントまたはデバイス イベント、もしくはその両方の送信を選択できます。Workspace ONE UEM Console によって生成されるすべてのイベントは、スケジューラの設定に従って SIEM ツールに送信されます。メッセージを送信するイベントを制御する唯一の方法は、[イベント設定] システム設定ページでログ レベルをカスタマイズすることです。
[イベント設定] ページでは、コンソールとデバイスの両方のログ レベルを選択できます。選択したログ レベルは、Workspace ONE UEM に表示されている内容に適用され、データベースに保存されて、SIEM ツールに送信されます。現在、SIEM ツールに選択したメッセージ バッチを個別に送信することや、逆にツールからこうしたメッセージを受信する際にすべてのイベントを生成して Workspace ONE UEM に保存することはできません。
利点を統合する
イベント ログは、セキュリティと利便性向上のために SIEM ツールに送信されます。
- セキュリティ:SIEM システムで、サイト外の安全な場所にログを保持します。
- 利便性:ログを一元化された場所に格納して、簡単にアクセスできるようにします。
Syslog サーバを介して転送されるデータは、イベント データに紐付けられます。たとえば、Workspace ONE UEM Console によってデバッグの重要度で分類されたデバイス イベントは、Syslog サーバでも同じ重要度を使用します。これらの設定をフィルタリングすることはできますが、Workspace ONE UEM Console でイベントの重要度の分類を変更することはできません。
コンソール アラート
ログ サーバが Syslog サーバへの監査レコードの送信に失敗すると、コンソール管理者にアラートが送信されます。[アカウント設定] で、管理者はアラートの受信方法を設定できます。アラートは、コンソール、E メール、またはその両方に対して設定できます。
[通知の種類]
- 高:このアラートは、初期障害のメッセージを示します。
- 解決済み:このアラートは、サーバがリストアされ、監査レコードが Syslog サーバに送信されるときに表示されます。