NetIQ Sentinel 7.0.1クイックスタートガイド

2012年3月

次の情報を使用すると、Sentinel をすばやくインストールおよび実行できます。

1.0 システム要件を満たす

Sentinel をインストールするための最小システム要件を満たしていることを確認します。

500 EPSのハードウェア要件:

  • メモリ: 6.7GB

  • ハードディスク: 500GB x 4、7.2K RPMのドライバをRAID 1で稼動(256MBのキャッシュを装備)、または同等のストレージエリアネットワーク(SAN)

  • プロセッサ: Intel Xeon X5470 3.33GHz (4コア) CPU x 1

オペレーティングシステム:

  • SUSE Linux Enterprise Server (SLES) 11 SP1

  • Red Hat Enterprise Linux (RHEL) 6

仮想マシン:

  • VMWare ESX 4.0

  • Xen 4.0

  • Hyper-V Server 2008 R2DVD ISOファイルのみ

DVD ISO:

  • Hyper-V Server 2008 R2

  • オペレーティングシステムがインストールされていないハードウェア

EPSが500 EPSより上位または下位の場合のハードウェア要件については、『NetIQ Sentinel 7.0.1インストールおよび設定ガイド』の「システム要件を満たす」を参照してください。

2.0 Sentinelのインストール

Sentinelはスタンドアロンインストール、またはアプライアンスインストールとしてインストールできます。

2.1 ハードウェアへのインストール

Sentinelの標準インストールでは、Sentinelのすべてのコンポーネントが1台のマシンにインストールされます。カスタムインストールを実行するか、root以外のユーザとしてSentinelをインストールする場合は、『NetIQ Sentinel 7.0.1インストールおよび設定ガイド』の「Sentinelのインストール」を参照してください。

Sentinelをインストールするには、次の手順に従います。

  1. ノベル製品ダウンロードWebページからSentinelインストールファイルをダウンロードします。

    1. 製品または技術]フィールドで[SIEM-Sentinel]をブラウズして選択します。

    2. 検索]をクリックします。

    3. Sentinel 7.0 Evaluation]の[ダウンロード]列のボタンをクリックします。

    4. ダウンロードに進む]をクリックし、お客様名とパスワードを入力します。

    5. お使いのプラットフォーム用のインストールバージョンに該当する[ダウンロード]をクリックします。

  2. 次のコマンドを使用してインストールファイルを抽出します。

    tar xfz <install_filename>

    <install_filename>は、実際のインストールファイル名に置き換えます。

  3. 次のコマンドを使用してinstall-sentinelスクリプトを実行します。 

    ./install-sentinel

  4. インストールを実行する言語の番号を指定し、<Enter>キーを押します。

    デフォルト値は英語の「3」です。

    エンドユーザの使用許諾契約が、選択した言語で表示されます。

  5. スペースキーを押して使用許諾契約を確認します。

  6. yes」または「y」と入力して使用許諾契約に同意し、インストールを続行します。

    このインストールが完了するまで数分かかることがあります。

  7. 要求されたら、「1」と入力してSentinel 7.0の標準インストールを続行します。

  8. 設定中に作成されるデフォルトの管理者アカウント用のパスワードを2回指定します。

詳細については、『NetIQ Sentinel 7.0.1インストールおよび設定ガイド』の「Sentinelのインストール」を参照してください。

2.2 アプライアンスのインストール

アプライアンスは、VMware ESX、Xen、およびHyper-V仮想プラットフォーム用に用意されています。ハードウェアにアプライアンスをインストールすることもできます。次の手順は、VMware ESXサーバを対象にしています。その他のプラットフォーム用の手順については、『NetIQ Sentinel 7.0.1インストールおよび設定ガイド』の「アプライアンスのインストール」を参照してください。

  1. VMwareアプライアンスインストールファイルをダウンロードします。

    VMwareアプライアンスの正しいファイル名にはvmxが含まれます。

  2. アプライアンスイメージのインストール先となるESXデータストアを確立します。

  3. アプライアンスをインストールするサーバにAdministratorとしてログインします。

  4. 次のコマンドを使用して、VM Converterがインストールされているマシンから圧縮されたアプライアンスイメージを抽出します。 

    tar zxvf <install_file>

    <install_filename>は、実際のファイル名に置き換えます。

  5. VMwareイメージをESXサーバにインポートするには、VMware Converterを使用して、インストールウィザードの画面の指示に従います。

  6. ESXサーバマシンにログインします。

  7. インポートしたアプライアンスのVMwareイメージを選択して、[電源オン]アイコンをクリックします。

  8. 使用する言語を選択して、[次へ]をクリックします。

  9. キーボードのレイアウトを選択して、[次へ]をクリックします。

  10. Novell SUSE Linux Enterprise Server ソフトウェア使用許諾契約書の条項を確認して同意します。

  11. NetIQ Sentinelエンドユーザ使用許諾契約の条項を確認して同意します。

  12. [ホスト名]および[ドメイン名]画面で、ホスト名とドメイン名を指定します。

  13. ホスト名をループバックIPに割り当てる]オプションが選択されていることを確認します。

  14. [次へ]を選択します。ホスト名の環境設定が保存されます。

  15. 次のいずれかの操作を行います。

    • 現在のネットワーク接続設定を使用するには、[ネットワーク環境設定II]画面の[次の環境設定を使用する]を選択します。

    • ネットワーク接続設定を変更するには、[変更]を選択し、目的の変更を行います。

  16. 次へ]をクリックしてネットワーク接続設定を保存します。

  17. 日付と時刻を設定して、[次へ]をクリックし、[終了]をクリックします。

    インストール後にNTP環境設定を変更するには、アプライアンスのコマンドラインからYaSTを使用します。WebYastを使用して日付と時刻を変更することはできますが、NTPの環境設定を変更することはできません。

    インストール直後に時刻が同期されていない場合は、次のコマンドを実行してNTPを再起動します。

    rcntp restart

  18. Novell SUSE Linux Enterprise Server のrootのパスワードを設定して、[次へ]をクリックします。

  19. rootのパスワードを設定して、[次へ]をクリックします。

  20. Sentinel のadminとdbauserのパスワードを設定して、[次へ]をクリックします。

  21. [次へ]をクリックします。ネットワーク接続設定が保存されます。

    インストールが完了したら、コンソールに表示されたアプライアンスのIPアドレスをメモします。

インストール後の設定情報については、『NetIQ Sentinel 7.0.1インストールおよび設定ガイド』の「アプライアンスのインストール後の設定」を参照してください。

3.0 Sentinel Webインタフェースへのアクセス

Sentinelのインストール後の手順として、Sentinel Webインタフェースにアクセスして管理作業を実行し、データを収集するようにSentinelを設定します。

Webインタフェースにアクセスするには、Webブラウザに次のURLを入力します。

https://<IP_Address_Sentinel_server>:8443

8443番ポートはデフォルト値です。

4.0 データの収集

データ収集は、ConnectorとCollectorを通じて行われます。Sentinelには、デフォルトでいくつかのConnectorとCollectorがインストールおよび設定されています。

デフォルトでは、SentinelサーバにTCP、UDP、およびSSLの各syslogサーバがインストールされています。アプライアンスを使用している場合、syslogサーバは、ローカルsyslogファイルからイベントの受信を開始するときに自動的に設定されます。

Linuxサーバなどのsyslogデバイスを設定し、これらのsyslogサーバに情報を送信することができます。さらに、その他のConnectorを設定し、Sentinelでデータを収集することもできます。

4.1 syslog情報をSentinelに送信するようにLinuxサーバを設定する

Sentinelサーバには、次のポートへの着信接続をリスンする、事前に設定されたsyslogイベントソースサーバが含まれています。

  • TCP: 1468

  • UDP: 1514

  • SSL: 1443

次の情報を使用すると、TCP syslogイベントソースサーバにイベントを送信するようにLinuxサーバを設定できます。

Linux上のsyslogファイルを設定するには:

  1. /etc/syslog-ng/syslog-ng.confファイルを開きます。

  2. syslog-ng.confファイルの末尾に次のコード行を追加します。

    # Forward all messages to Sentinel:
#
destination d_slm { tcp("127.0.0.1" port(1468)); };
log { source(src); destination(d_slm); };

  3. TCP値をLinuxサーバのIPアドレスに変更します。

  4. ファイルを保存して、ファイルを閉じます。

  5. syslogサービスを再起動します。

    /etc/init.d/syslog restart

syslog Connectorに情報を送信するようにデバイスを設定する方法の詳細については、SentinelプラグインWebページにあるsyslog Connectorのマニュアルを参照してください。

4.2 Windowsを対象としたデータ収集の設定

Windowsシステムからデータを収集する場合は、Windowsイベント(WMI)Connectorを設定する必要があります。Windows Event ConnectorはCollector Managerにインストールされ、WindowsサーバにインストールされたWindowsイベントコレクションサービスからイベントを受信します。

Windows Event Connectorの設定

  1. Sentinel Webインタフェースにログインします。

    https://<IP_Address_Sentinel_server>:8443

    8443番ポートはデフォルトのポートです。

  2. ツールバーの[アプリケーション]をクリックし、[コントロールセンターの起動]をクリックします。

  3. 管理ユーザ名とパスワードを使用し、[ログイン]をクリックして、Sentinelコントロールセンターにログインします。

  4. ツールバーの[イベントソースの管理]、[ライブビュー]の順にクリックします。

  5. Windows専用のCollectorをCollector Managerに追加します。

    Windows Event Connectorを追加するには、Windows専用のCollectorを設定しておく必要があります。

    1. Collector Managerを右クリックし、[Collectorの追加]をクリックします。

    2. ベンダ]列の[Microsoft]を選択し、[バージョン]列でWindowsまたはActive Directoryのバージョンを選択します。

    3. [次へ]をクリックします。

    4. 表示するスクリプトを選択し、[次へ]をクリックします。

    5. 任意の設定パラメータを変更し、[次へ]をクリックします。

    6. Collectorのその他の設定パラメータを設定し、[終了]をクリックします。

  6. ステップ 5で作成したCollectorにWindows Event Connectorを追加します。

    1. Collectorを右クリックし、[Connectorの追加]をクリックします。

    2. Windows Event Connectorを選択し、[次へ]をクリックします。

    3. Windows Event Connectorサーバのネットワーク設定を設定し、[次へ]をクリックします。

    4. SSL設定を設定し、[次へ]をクリックします。

    5. Windows Event Connectorの管理方法を選択します。

      • 手動: イベントソースを手動で管理するには、このオプションを選択します。

      • 自動: Active Directoryと自動的に同期するには、このオプションを選択します。

    6. [次へ]をクリックします。

    7. Windowsイベントコレクションサービスおよびイベントソースへの接続に使用するユーザの資格情報を指定します。

    8. 設定パラメータを指定し、[終了]をクリックします。

  7. データを収集するWindowsシステムのイベントソースを追加します。

    1. Windows Event Connectorを右クリックし、[イベントソースの追加]をクリックします。

    2. WindowsシステムのIPアドレスまたはホスト名を指定します。

      または

      Active DirectoryからWindowsシステムを選択し、[次へ]をクリックします。

    3. イベントソースの接続モードを選択し、[次へ]をクリックします。

    4. イベントソースの設定パラメータを指定し、[終了]をクリックします。

WindowsサーバでのWindowsイベントコレクションサービスのインストール

  1. Windowsイベントコレクションサービスを実行し、リモートのWindowsシステムのWindowsイベントログからイベントを収集するために、適切な権限のあるユーザアカウントをWindowsサーバで作成したことを確認します。次の権限が必要です。

    • Windowsイベントログにアクセスする許可

    • WMIの許可

    • DOCMの許可

    • すべてのイベントログの種類について、Distributed COM Usersグループに、ACLの読み込み、書き込み、および削除権限が割り当てられている必要があります。

    • セキュリティイベントログの読み込み許可

    • ユーザには、Windowsエージェントをインストールするための管理権限が必要です。

    • ユーザには、サービスとしてログオンする権限が必要です。

    詳細については、SentinelプラグインWebページにあるWindows Event Connectorのマニュアルを参照してください。許可情報は第4章および第5章に記載されています。

  2. WindowsEvent-CollectionService.msiファイルを、Windows Event Connector .zipファイルから、WindowsイベントコレクションサービスをインストールするWindowsサーバにコピーします。

  3. WindowsEvent-CollectionService.msiファイルをダブルクリックしてWindowsイベントコレクションサービスのセットアップウィザードを起動します。

  4. 初期画面で、[次へ]をクリックします。

  5. (条件付き)サポートの制限に関する警告を確認し、[次へ]をクリックします。

  6. エンドユーザ使用許諾契約に同意し、[次へ]をクリックします。

  7. 次の情報を使用して、Windowsイベントコレクションサービスの設定をカスタマイズします。

    その他の機能: インストールする機能を選択します。デフォルトでは、一部の機能はインストールされません。機能は次のとおりです。

    • コレクションサービス: Sentinelと通信するWindowsイベントコレクションサービスをインストールします。

    • マニュアル: Connectorに付属しているマニュアルをインストールします。

    ロケーション: (オプション)[ブラウズ]をクリックし、新しいロケーションを選択して、デフォルトのインストールロケーションを変更します。デフォルトのインストールロケーションはProgram Files\Novell\SentinelWECSです。

    ディスクの使用状況: (オプション)[ディスク使用状況]をクリックして、Windowsイベントコレクションサービスのインストールに利用できる十分な空きディスク領域があることを確認します。

  8. [次へ]をクリックします。

  9. Windowsイベントコレクションサービスが外部のWindowsイベントソースへの接続に使用するサービスアカウントを定義します。

    ローカルシステムアカウント: ローカルシステムアカウントユーザとしてWindowsイベントコレクションサービスを実行する場合は、このオプションを選択します。このオプションを選択する場合は、Collector ManagerにWindows Event Connectorを展開中に、ユーザ資格情報を入力する必要があります。

    このアカウント名: Windowsイベントコレクションサービスを特定のユーザとして実行するか、ドメインユーザとして実行する場合は、このオプションを選択します。Windowsイベントコレクションサービスを実行する権限を持っているユーザの資格情報を使用します。

    Windowsイベントコレクションサービスシステムでは、監視する各イベントソースシステム上のWindowsイベントログに対する読み込みアクセス権が必要です。そのため、作成されるユーザには、各イベントソースシステムで適切な許可が与えられている必要があります。

    インストール後すぐにサービスを開始: インストールの完了後、すぐにWindowsイベントコレクションサービスを開始する場合は、このオプションを選択します。

  10. [次へ]をクリックします。

  11. インストール]をクリックしてWindowsイベントコレクションサービスをインストールします。

  12. 終了]をクリックして設定ウィザードを終了します。

Windowsイベントコレクションサービスが動作するためには、インストール後に設定が必要です。

Windowsイベントコレクションサービスの設定

  1. ファイルエディタを使用してeventManagement.configファイルを開きます。

    ファイルのデフォルトのロケーションはProgram Files\Novell\SentinelWECSです。

  2. <client>セクションで、endPoint address行をコピーし、既存の行の下に貼り付けます。既存のIPアドレスを、Windowsイベントコレクションサービスが接続するサーバ(Collector Manager)のIPアドレスおよびConnectorと通信するために経由するポート番号と置き換えます。

    例:

    <client>
    <!-- Additional collectors/plugins can be added with different host/
port configurations -->
    <!-- <endPoint address="tcp://127.0.0.1:1024" 
behaviorConfiguration="localhost" />-->
    <endPoint address="tcp://<IP_address_Sentinel_server:<port_number>" 
behaviorConfiguration="localhost" />-->
  </client>

  3. ステップ 2を繰り返して、必要な数のConnectorを設定できます。1つのエージェントを複数のコネクタに対して設定するか、1つのエージェントを1つのConnectorに対して設定することができます。

  4. eventManagement.configファイルを保存して閉じます。

  5. [サービス]ウィンドウを開いてWindowsイベントコレクションサービスを開始します。

    1. スタート]、[ファイル名を指定して実行]の順にクリックして[ファイル名を指定して実行]ダイアログボックスを開きます。

    2. services.msc」と入力して[OK]をクリックします。

  6. Sentinel Windowsイベント接続サービス]を選択して右クリックし、[開始]をクリックしてWindowsイベントコレクションサービスを開始します。

  7. [サービス]ウィンドウを閉じます。

Microsoft Active Directory、Windows Collector、およびWindow Event(WMI)Connectorの詳細については、SentinelプラグインWebページを参照してください。

4.3 追加のConnectorとCollectorの設定

使用可能なConnectorとCollectorは、Sentinelのインストール時にSentinelサーバにインストールされます。ただし、多くの場合、更新された新しいConnectorとCollectorを入手可能です。

更新されたバージョンのConnectorとCollectorについては、SentinelプラグインWebページで確認してください。

デフォルトで設定されないConnectorまたはCollectorを設定する必要がある場合は、『NetIQ Sentinel 7.0.1インストールおよび設定ガイド』の「Sentinelコンポーネントの追加」を参照してください。

5.0 次に行う作業

この時点で、Sentinelはインストールされています。Sentinelの設定には、『NetIQ Sentinel 7.0.1 Administration Guide (NetIQ Sentinel 7.0.1管理ガイド)』および『NetIQ Sentinel 7.0.1 User Guide (NetIQ Sentinel 7.0.1ユーザガイド)』の2つのガイドが参考になります。

『管理ガイド』には、管理権限を持っているユーザのみが実行できる作業の設定情報が記載されています。例:

これらの作業およびその他の管理作業の詳細については、『NetIQ Sentinel 7.0.1 Administration Guide (NetIQ Sentinel 7.0.1管理ガイド)』を参照してください。

『ユーザガイド』には、Sentinelでユーザが実行する作業に関する指示が記載されています。例:

これらの作業およびその他のユーザ作業の詳細については、『NetIQ Sentinel 7.0.1 User Guide (NetIQ Sentinel 7.0.1ユーザガイド)』を参照してください。

Sentinelを設定して、イベントの分析、相関ルールを使用したデータの追加、ベースラインの設定、情報に対するワークフローの設定などを行うことができます。Sentinelのこれらの機能を設定する際は、『NetIQ Sentinel 7.0.1 Administration Guide (NetIQ Sentinel 7.0.1管理ガイド)』の情報を参考にしてください。

6.0 著作権:

NetIQコーポレーション(“NetIQ”)は、本書の内容または本書を利用した結果について、いかなる保証または表明も行っておりません。また、本書の商品性、および特定の用途への適合性について、いかなる表明または黙示的保証も否認します。また、NetIQは、本書を改訂し、その内容をいつでも変更する権利を留保します。NetIQは、このような改訂または変更に関し、いかなる個人または事業体に通知する義務を負いません。NetIQは、すべてのソフトウェアについて、いかなる表明または保証も行っていません。また、ソフトウェアの商品性、または特定の目的への適合性については、明示と黙示を問わず一切保証しないものとします。NetIQは、NetIQ製ソフトウェアの一部または全部を変更する権利を常に留保します。NetIQは、このような変更に関し、いかなる個人または事業体に通知する義務を負いません。本契約の下で提供される製品または技術情報はすべて、米国の輸出管理規定およびその他の国の輸出関連法規の制限を受けます。お客様は、すべての輸出規制を遵守して、製品の輸出、再輸出、または輸入に必要なすべての許可または等級を取得するものとします。お客様は、現在の米国の輸出除外リストに掲載されている企業、および米国の輸出管理規定で指定された輸出禁止国またはテロリスト国に本製品を輸出または再輸出しないものとします。お客様は、取引対象製品を、禁止されている核兵器、ミサイル、または生物化学兵器を最終目的として使用しないものとします。NetIQは、お客様が必要な輸出承認を取得しないことについては、いなかる責任も負わないものとします。Copyright (c) 2012 Novell, Inc. All rights reserved. 本ドキュメントの一部または全体を無断で複写転載することは、その形態を問わず禁じます。サードパーティの商標は、それぞれの所有者に属します。詳細については、NetIQまでお問い合わせください。お問い合わせ先は次のとおりです。1233 West Loop South, Houston, Texas 77027U.S.A. www.netiq.com