レポート作成、アラート、SIEM

概要

Keeperのレポート・アラートモジュール (Advanced Reporting and Alerts Module, ARAM) では、各種ツールを利用して全体的な利用状況やポリシーへの準拠を監視できます。

主な機能

レポート作成

レポートとアラートダッシュボードには、上位5つのイベント、2つの標準レポート、カスタムレポートの概要が表示されます。「最近のアクティビティ」レポートは標準レポートの1つで、200種類を超えるイベントタイプにわたる直近1000件のイベントを追跡します。レポート・アラートモジュールにアップグレードすると、カスタムレポートの生成と保存、およびアラート通知が利用できます。

[カスタムレポートを追加] をクリックするとカスタムレポートを作成できます。

[適用] をクリックすると、結果をプレビューできます。このレポートを使用する場合は [保存] をクリックします。イベントは、JSON、CSV、SysLogの各形式のファイルとしてエクスポートできます。

IPアドレスに基づく位置情報

IPアドレスに基づく位置情報の精度は、ユーザーの位置の特定に使用されるデータベースによって異なります。また、複数の要因によっても左右されます。レジストリが、受信したデータをどの程度正確に検証できるかということが最も重要となります。 IPアドレスに紐付けられている情報が不正確な場合、有用性が低下します。 IPアドレスが頻繁に変更されたり、モバイルキャリアがユーザーのインターネットアクセスに集中型のゲートウェイを使用している携帯電話の場合、位置情報の特定は著しく困難になります。 また、ユーザーがプロキシやVPNを使用している場合、位置データはかならずしも正しくありません。

Keeperでは、業界で最も信頼されるプロバイダの1つを利用しています。そのプロバイダでは、定期的に公開されている既知のIPアドレスと照合してデータ品質を検証することで、品質保証を行っています。

タイムライングラフ

タイムライングラフの期間は、24時間、7日、30日間から選択できます。任意のイベントが記載された行をクリックすると、その期間内でそのイベントのすべての事例が表示されたレポートが開きます。

アラート

アラートモジュールを使用すると、イベントに基づいたアラートを生成できます。アラートはメールまたはSMSで送信されます。

新しいアラートは、新しいレポートと同様に [アラートを追加] をクリックし、名前とフィルター条件を指定して作成します。受信者は1人以上追加でき、メールアドレス、電話番号 (SMS用)、またはその両方を指定できます。受信者は組織の一員である必要はなく、任意のメールアドレスや電話番号を指定できます。最初の受信者は、イベントを発生させたユーザーがあらかじめ設定されます。これはデフォルトで「オフ」になっており、アラート (メールのみ) を送信するには「オン」に切り替える必要があります。

大量のメールやSMSが受信者に届かないようにアラートを抑制するには、アラート頻度を指定します。たとえば、頻度を「期間中に1回」に設定し、期間を1時間に設定した場合、アラートフィルタに一致するすべてのイベントは引き続きアラートを発生させますが、アラートメッセージについては前回のアラートメッセージが送信されてから1時間経過した際に送信されます。また、トグルボタンを使用してアラートを一時停止することもできます。一時停止すると、アラートは発生し続けますが、実際のアラートメッセージは送信されません。一時停止を解除すると、次にアラートに一致するイベントが発生する際にアラートメッセージが送信されます。その際には一時停止中に発生したイベントを全て含んんだメッセージが送信されます。

以下は、メールでのアラートの例となります。

アラート履歴は、「送信済みアラート」タブで閲覧できます。個々のアラートの詳細も確認できます。

外部のSIEMログ

サードパーティのSIEMソリューションを利用している場合、Keeper管理コンソールを構成してライブのイベントデータを外部のSIEM製品へ自動的に送れます。現在サポートされているシステムは以下のとおりです。

• AWS S3

• Azure Marketplace経由のMicrosoft Sentinel

• Azure Monitor (Microsoft Sentinel向け)

• CrowdStrike Falcon Next-Gen SIEM

• Datadog

• Devo

• Elastic

• Exabeam (LogRhythm)

• Google Security Operations (Chronicle)

• Logz.io

• IBM QRadar

• ServiceNow ITSM

• Syslog Push

• Splunk

• Sumo Logic

• Syslog

イベントデータはKeeperのサーバーから接続先のSIEMコレクタへ送信されます。外部連携の方式は、同時に1つだけ有効にできます。

[セットアップ] をクリックして、外部ログを有効にします。 各ソリューションのセットアップは容易で、通常は統合に必要な属性は少数です。

イベントタイプ

管理コンソール内のデフォルトの「最近のアクティビティ」レポートには、16種類のイベントタイプが含まれています。Keeperのレポート・アラートモジュールでは、250種類を超えるイベントタイプがサポートされています。

Keeperエンタープライズによって検出されるイベントは、レポートとアラートの画面のドロップダウンメニューから閲覧できます。

BreachWatch関連イベントを有効にする

デフォルトでは、エンドユーザー端末のBreachWatch関連イベントは収集されず、レポート・アラートモジュールには転送されません。 これらのイベントは、ロールポリシーを介して管理します。この機能を有効にするには、[管理者] 画面から[ロール] > [強制ポリシー] > [ボルト機能] に移動し、[BreachWatch関連イベントをレポート＆アラートおよび接続済み外部ログシステムへ送信] をONに切り替えます。

イベント情報

以下の表は、Keeperのレポート・アラートモジュールで検出されるイベントの一覧となります。イベントコードは、ユーザーインターフェースおよびKeeperコマンダーCLIコマンドパラメータ内で使用されます。「メッセージ」フィールドは、アラートモジュールに使用されます。

各イベント内には、レコードUID、共有フォルダUID、チームUID、ユーザー名などの属性が存在する場合があります。これらの属性はイベントメッセージに表示され、サードパーティSIEMプロバイダにも指定された形式で送信されます。

生イベントデータの例

以下は、JSON形式で送信された2つのイベントの例となります。「record_update」イベントは特定のレコードに関係するため、レコードUIDが表示されています。

以下は、Syslog形式のイベントの例となります。Keeperコマンダーを介してのエクスポートしたり、サードパーティ製のSIEMソリューションにエクスポートしたりできます。

「enterprise_id」は、同じSIEMコレクタ内にあるさまざまなKeeperエンタープライズのテナントを区別するのに役立ちます。

レコードUIDなどの識別子を検索

イベントデータでは、レコードUID、共有フォルダUID、チームUIDなどのさまざまなタイプのUID値が参照されています。レコードUIDと共有フォルダUIDについては、KeeperコマンダーCLIまたはウェブボルトから確認できます。

コマンダーCLI

KeeperコマンダーCLIを使用すると、コマンドラインとSDKをKeeperのレポートシステムに統合し、高度な用途に対応できます。そのため、イベントデータを実用的なレポートの生成に使用できます。

詳細については、以下のレポート関連コマンドをご参照ください。

• audit-log

• audit-report

• user-report

• security-audit-report

• share-report

• shared-records-report

• msp-license-report

• aging-report

• action-report

• compliance-report