レポート、アラート、SIEM

Keeper の ARAM(高度なレポートとアラートモジュール)では、コンプライアンス要件を満たす高度なイベントログを利用できます。

概要

Keeper の高度なレポートとアラートモジュール(「ARAM」)は Keeper Security プラットフォームの重要なコンポーネントであり、Keeper 管理者とコンプライアンスチームに全体的な使用状況とポリシーの遵守をモニタリングするためのツールを提供します。

主要な機能

  • レポートエンジン 100 種類以上のイベントタイプをカテゴリー別(例:セキュリティイベント、管理アクション、一般的な使用状況)に分類して、時間ベースのカスタムレポートを実行します。 ユーザー、イベントタイプ、属性(例:記録 UID、共有フォルダ UID、位置情報)でフィルタリングします。
  • アラート 特定のイベントタイプに基づいて、電子メール、SMS、Webhook 通知を送信できるアラートトリガーを設定します(例えば、ポリシー変更時に管理者に通知するなど)。
  • 外部ログ Splunk、Sumo、LogRhythm などの既存の SIEM ソリューションとの統合が可能です。
  • BreachWatch モニタリング 通知を受け、BreachWatch イベントを追跡します(高リスクのパスワードを通知されたユーザー、高リスクのパスワードを解決したユーザー)。
  • Commander CLI / SDK の統合 Keeper Commander はカスタマイズされたレポートと自動化を実行できます。
  • コンプライアンス監査 SOX、ISO、SOC のコンプライアンス監査要件に対応したレポートを生成します。

レポートインターフェース

レポートタブ
「レポートとアラート」のダッシュボードでは、上位 5 つのイベントの概要、2 つの組み込みレポート、カスタムしたレポートが表示されます。 「最近のアクティビティー」レポートは、16 のイベントタイプで過去 1,000 件のイベントの基本的なイベント追跡を提供するビルトインレポートです。 高度なレポートとアラートモジュールにアップグレードすることで、100 種類以上のイベントタイプを追跡し、カスタムレポートやアラート通知を生成することができます。
「レポートとアラート」のダッシュボードには、上位 5 つのイベントの概要、2 つの内蔵レポート、カスタムしたレポートが表示されます。 「最近のアクティビティー」レポートは、16 のイベントタイプで過去 1,000 件のイベントの基本的なイベント追跡を提供するビルトインレポートです。 高度なレポートとアラートモジュールにアップグレードすることで、100 種類以上のイベントタイプを追跡し、カスタムレポートやアラート通知を生成することができます。
管理者は、「カスタムレポート追加」をクリックしてカスタムレポートを作成することもできます。
レポートの表示画面
結果をプレビューするには「適用」をクリックし、レポートを今後も使用する場合は「保存」ボタンをクリックします。 イベントは、JSON、CSV、SysLog 形式のファイルとしてエクスポートできます。
Keeper ボルトデバイスによって生成された新しいイベントは、レポートモジュールに表示されるまで、最大 10 分かかります。

IPアドレスに基づくジオロケーション

IP アドレスに基づく位置情報の精度は、ユーザーの位置を特定するために使用されるデータベースによって異なります。 位置情報データの精度は、いくつかの要素に依存します。 最も重要となるのは、レジストリが受信したデータをどれほど適切に検証するかです。 IP アドレスに関連する情報が間違っていると、その有用性が低下します。 IP アドレスの変更が頻繁に行われ、ユーザーがインターネットにアクセスする集中型ゲートウェイを使用している携帯電話会社の携帯電話を使用している場合、位置情報を特定することが非常に困難なものとなります。 さらに、ユーザーがプロキシや VPN を使用している場合、位置情報は常に正しくありません。
Keeper は業界で最も信頼性の高いプロバイダーの 1 つに加入しており、定期的に一般から供給された既知の IP アドレスに対してデータ品質を検証することで品質保証を行っています。

タイムライングラフ

タイムライングラフは、24 時間、7 日間、30 日間のイベントをグラフ化したものです。 任意のイベント行をクリックすると、その期間のすべてのイベントを含むレポートが表示されます。
タイムライングラフ

アラート

アラートモジュールでは、イベントベースのトリガーを作成して、メールまたは SMS ベースのアラートを生成することができます。
アラート
新規アラートは、新規レポートと同様に、「アラート追加」をクリックし、名前とフィルタ条件を指定して作成します。 メールアドレス、電話番号(SMS 用)、またはその両方を使って、ひとりまたは複数の受取人を追加できます。 受取人は企業に所属している必要はなく、任意のメールアドレスや電話番号を指定することができます。 最初の受信者は、イベントを生成したユーザーであることが事前に定義されています。 これはデフォルトでは「オフ」になっており、アラート(メールのみ)を作成者に送るのを有効にするには、「オン」に切り替える必要があります。
アラートの作成
幅広いイベントと属性フィルタを指定すると、多くのアラートが生成される可能性があります。 アラート頻度を調整し、狭いイベントタイプとフィルターを設定することで、アラートノイズを減らすことができます。
受取人がメールや SMS を受信しすぎないように、アラートを抑制することができます。 抑制するひとつの方法として、アラート頻度を指定することがあります。 例えば、アラートの頻度を「期間ごとに 1 回」に設定し、期間を 1 時間に設定した場合、アラートフィルターにマッチするすべてのイベントがアラートの「発生」を引き起こしますが、前回のメッセージの時刻から 1 時間が経過した場合にのみメッセージが送信されます。 アラートを調整するもうひとつの方法として、スイッチを切り替えて一時停止することがあります。 一時停止したアラートは、実際のメッセージを送信せずに「発生」を蓄積します。 再開すると、アラートに一致する次のイベントがトリガーとなり、一時停止中に発生したイベントの数を含むメッセージが送信されます。
以下に、メールアラートの例を示します:
メールアラート
「送信されたアラート」タブでアラートの履歴を表示することができ、ドリルダウンして個々のイベントを確認することができます。
送信されたアラート

外部 SIEM ログ

サードパーティの SIEM ソリューションを利用している場合、Keeper 管理コンソールは、ライブイベントデータを外部 SIEM 製品に自動的にフィードするように設定することができます。 現在サポートされているシステムは以下の通りです:
  • Splunk
  • Sumo Logic
  • AWS S3 Bucket
  • IBM QRadar
  • Azure Log Analytics
  • LogRythm
  • Syslog Push
イベントデータは Keeper のサーバーから送信先の SIEM コレクターに送信されます。 一度に有効にできる外部同期のメソッドはひとつだけです。
送信されたアラート
「セットアップ」をクリックして、外部ログソリューションを有効にします。 セットアップは各ロギングプラットフォームで簡単にでき、通常はいくつかの属性を統合するだけです。

イベントタイプ

管理コンソール内にあるデフォルトの「最近のアクティビティ」レポートには、16 種類のイベントタイプが含まれています。 Keeper の高度なレポートとアラートモジュールは 100 種類までのイベントタイプをサポートしています。
Keeper Enterprise によってキャプチャされたイベントは、レポートとアラート設定のドロップダウンメニューに表示されます。
イベントタイプフィルター

BreachWatch イベントの有効化

デフォルトでは、エンドユーザーデバイスからの BreachWatch イベントは収集されず、高度なレポートとアラートモジュールには送信されません。 これらのイベントは、ロールポリシーによって管理されます。 この機能を有効にするには、「ロール」 > 「強制ポリシー」 > 「ボルト機能」にアクセスし、「レポートとアラートおよび接続している外部ログシステムに BreachWatch のイベントを送信」を「オン」に切り替えます。
BreachWatch イベントの有効化

イベントリスト

Keeper 高度なレポートとアラートモジュールによってキャプチャされたすべての利用可能なイベントのリストは以下のチャートで提供されています。 イベントコードはユーザーインターフェースと Keeper Commander の CLI コマンドパラメータ内で使用されます。 「メッセージ」フィールドはアラートモジュールで使用されます。
各イベントには、記録 UID、共有フォルダ UID、チーム UID、ユーザー名などの追加属性が存在する場合があります。 これらの属性は、イベントの概要内に表示され、サードパーティの SIEM プロバイダーにも、送信先で指定された形式で提供されます。
イベントコード
カテゴリー
メッセージ
コメント
change_master_password
アカウント
ユーザー ${username} がマスターパスワードを変更しました
set_two_factor_off
セキュリティ
ユーザ ${username} が 2FA メソッドの設定をオフにしました
change_security_question
アカウント
ユーザー ${username} がセキュリティの質問を変更しました
change_email
アカウント
ユーザー ${username} がメールアドレスを変更しました。 以前のアドレスは ${email} です
alias_added
アカウント
ユーザー ${username} が代替メールアドレス ${email} を追加しました
create_user
セキュリティ
ユーザー ${username} が作成されました
delete_user
セキュリティ
管理者 ${username} がユーザー ${to_username} を削除しました
fast_fill
使用法
ユーザー ${username} が記録 UID ${record_uid} を自動入力しました
login
ログイン
ユーザー ${username} がボルトにログインしました
任意:「channel」
login_failure
ログイン
ユーザー ${username} のログインがコード ${result_code} で失敗しました
任意:「channel」
open_record
使用法
ユーザー ${username} が記録 UID ${record_uid} を開きました
任意:「folder_type」、「folder_uid」
record_add
使用法
ユーザー ${username} が記録 UID ${record_uid} を追加しました
任意:「folder_type」、
「folder_uid」
record_delete
使用法
ユーザー ${username} が記録 UID ${record_uid} をごみ箱に送りました
任意:「folder_type」、「folder_uid」
record_remove
使用法
ユーザー ${username} が記録 UID ${record_uid} を削除しました
任意:「folder_type」、「folder_uid」
record_update
使用法
ユーザー ${username} が記録 UID ${record_uid} を更新しました
任意:「folder_type」、「folder_uid」
set_two_factor_on
セキュリティ
ユーザー ${username} が 2FA メソッド ${channel} をオンに設定しました
share
共有
ユーザー ${username} が記録 UID ${record_uid} を ${to_username} と共有しました
transfer_owner
共有
ユーザー ${username} が記録 UID ${record_uid} の所有権をユーザー ${to_username} に移転しました
change_share
共有
ユーザー ${username} が記録 UID ${record_uid} の共有許可をユーザー ${to_username} に変更しました
このイベントログはユーザーへの記録共有で変更されます 記録共有は、再共有および編集するためのアクセス許可が含まれます
remove_share
共有
ユーザー ${username} がユーザー ${to_username} から記録UID ${record_uid} の共有を削除しました
accept_share
共有
ユーザ ${username} がユーザー ${to_username} からの共有を受け入れました
cancel_share
共有
ユーザー ${username} がユーザー ${to_username} からの共有をキャンセルしました
add_security_key
セキュリティ
ユーザー ${username} がセキュリティキーを追加しました
delete_security_key
セキュリティ
ユーザー ${username} がセキュリティキーを削除しました
added_folder
使用法
ユーザー ${username} が ${folder_type} フォルダ UID ${folder_uid} を作成しました
folder_add_user
共有
ユーザー ${username} がユーザー ${to_username} を共有フォルダ UID ${shared_folder_uid} に追加しました
folder_remove_user
共有
ユーザー ${username} がユーザー ${to_username} を共有フォルダ UID ${shared_folder_uid} から削除しました
folder_add_team
共有
ユーザー ${username} がチーム UID ${team_uid} を共有フォルダ UID ${shared_folder_uid} に追加しました
folder_remove_team
共有
ユーザー ${username} がチーム UID ${team_uid} を共有フォルダ UID ${shared_folder_uid} から削除しました
folder_add_record
共有
ユーザー ${username} が記録 ${record_uid} を共有フォルダ UID ${shared_folder_uid} に追加しました
folder_remove_record
共有
ユーザー ${username} が記録 ${record_uid} を共有フォルダ UID ${shared_folder_uid} から削除しました
empty_trash
使用法
ユーザー ${username} が削除した記録を完全に消去しました
added_shared_folder
共有
ユーザー ${username} が共有フォルダ UID ${shared_folder_uid} を作成しました
deleted_shared_folder
共有
ユーザー ${username} が共有フォルダ UID ${shared_folder_uid} を削除しました
deleted_folder
使用法
ユーザー ${username} が ${folder_type} フォルダ UID ${folder_uid} を削除しました
folder_change_user
共有
ユーザー ${username} がユーザー ${to_username} の許可を共有フォルダ UID ${shared_folder_uid} に変更しました
folder_change_team
共有
ユーザー ${username} がチーム UID ${team_uid} 許可を共有フォルダ UID ${shared_folder_uid} に変更しました
folder_change_record
共有
ユーザー ${username} が記録 ${record_uid} 許可を 共有フォルダUID ${shared_folder_uid} に変更しました
record_share_outside_user
共有
ユーザー ${username} が記録 UID ${record_uid} をユーザー ${to_username} と社外で共有しました
folder_add_outside_user
共有
ユーザー ${username} が共有フォルダ UID ${shared_folder_uid} に社外のユーザー ${to_username} を追加しました
node_created
ポリシー
ユーザー ${username} がノード ${node} を作成しました
node_deleted
ポリシー
ユーザー ${username} がノード ${node} を削除しました
role_created
ポリシー
ユーザー ${username} がロール ${role_id} を作成しました
role_deleted
ポリシー
ユーザー ${username} がロール ${role_id} を削除しました
team_created
ポリシー
ユーザー ${username} がチーム ${team_uid} を作成しました
team_deleted
ポリシー
ユーザー ${username} がチーム ${team_uid} を削除しました
login_console
ログインログイン
ユーザー ${username} が管理コンソールにログインしました
expire_password
セキュリティ
管理者 ${username} がユーザー ${to_username} のマスターパスワードをリセットしました
send_invitation
セキュリティ
ユーザー ${username} が ${to_username} を招待しました
vault_transferred
セキュリティ
管理者 ${username} がユーザー ${from_username} のボルトをユーザー ${to_username} に移転しました
added_admin_key
セキュリティ
管理者 ${username} がユーザー ${to_username} に管理許可を供与しました
added_to_role
セキュリティ
管理者 ${username} がユーザー ${to_username} をロール ${role_id} に追加しました
added_to_team
共有
管理者 ${username} がユーザー ${to_username} をチーム ${team_uid} に追加しました
accept_transfer
セキュリティ
ユーザー ${username} がアカウント移転許諾に同意しました
accept_invitation
セキュリティ
ユーザー ${username} が招待に同意しました
lock_user
セキュリティ
管理者 ${username} がユーザー ${to_username} をロックしました
enable_user
セキュリティ
管理者 ${username} がユーザー ${to_username} を有効化しました
set_custom_header_logo
ポリシー
ユーザー ${username} がカスタムヘッダーロゴをセットしました
set_custom_email_logo
ポリシー
ユーザー ${username} がカスタムメールロゴをセットしました
set_custom_email_content
ポリシー
ユーザー ${username} がカスタムメールコンテンツをセットしました
bridge_activated
ポリシー
ユーザー ${username} がノード ${node} で Keeper Bridge を有効化しました
sso_activated
ポリシー
ユーザー ${username} がノード ${node} で Keeper SSO Connect を有効化しました
email_provisioning_activated
ポリシー
ユーザー ${username} がノード ${node} 上でドメイン ${email_domain} に対するメール自動プロビジョニングを有効化しました
scim_activated
ポリシー
ノード ${node} ユーザー ${username} がノード ${node} で SCIM プロビジョニングを有効化しました
role_enforcement_changed
ポリシー
ユーザー ${username} がロール ${role_id} に対する強制 ${enforcement} を ${value} に変更しました
login_failed_console
セキュリティ
ユーザー ${username} は管理コンソールへログインできませんでした
任意:「channel」
audit_sync_failed
使用法
エラー ${result_code} で監査ログを ${channel} と同期できませんでした
audit_sync_restored
使用法
${channel} の監査ログ同期を復元しました
audit_sync_resumed
使用法
管理者 ${username} が ${channel} の監査ログ同期を再開しました
audit_sync_paused
使用法
${channel} の監査ログ同期を一時停止しました
audit_sync_setup
ポリシー
管理者 ${username} は「 ${name} 」の監査ログ同期を設定しました
audit_sync_removed
ポリシー
A管理者 ${username} は「 ${name} 」の監査ログ同期を削除しました
audit_alert_sent
使用法
監査アラート「${channel}」が ${recipient} に送られました。
任意:「parent_id」
login_failed_ip_whitelist
セキュリティ
ユーザー ${username} が IP ${ip_address} からブロックされました
decline_invitation
セキュリティ
ユーザー ${username} が参加を辞退しました
set_2fa_configuration
ポリシー
ノード ${node} 用グローバル二要素認証環境設定 ${value} を設定しました
report_created
ポリシー
管理者 ${username} がレポート ${report_name} を作成しました
report_modified
ポリシー
管理者 ${username} がレポート ${report_name} を修正しました
report_deleted
ポリシー
管理者 ${username} がレポート ${report_name} を削除しました
record_password_change
使用法
ユーザー ${username} が記録 UID ${record_uid} のパスワードを変更しました
added_identity
使用法
ユーザー ${username} が ID を追加しました
added_payment_card
使用法
ユーザー ${username} が支払い用カードを追加しました
changed_identity
使用法
ユーザー ${username} が ID を変更しました
changed_payment_card
使用法
ユーザー ${username} が支払い用カードを変更しました
copy_password
使用法
ユーザー ${username} が記録 UID ${record_uid} のクリップボードにパスワードをコピーしました
imported_records
使用法
ユーザー ${username} が ${file_format} ファイルから記録をインポートしました
N/A for iOS
exported_records
使用法
ユーザー ${username} が ${file_format} ファイルへ記録をエクスポートしました
N/A for iOS
weak_password
パスワード
ユーザー ${username} が脆弱なパスワードを作成しました
N/A
reused_password
パスワード
ユーザー ${username} がパスワードを再使用しました
revision_restored
使用法
ユーザー ${username} が記録 UID ${record_uid} の旧バージョンを復元しました
record_restored
使用法
ユーザー ${username} が削除された記録 UID ${record_uid} を復元しました
high_risk_password_detected
breachwatch
BreachWatch がユーザー ${username} 記録 UID ${record_uid} の高リスクパスワードを検知しました N/A
N/A
high_risk_password_resolved
breachwatch
ユーザー ${username} は BreachWatch が記録 UID ${record_uid} で検知した高リスクパスワードを解決しました
N/A
high_risk_password_ignored
breachwatch
ユーザー ${username} は BreachWatch が記録 UID ${record_uid} で検知した高リスクパスワードを無視しました
N/A
chat_message_sent
チャット
ユーザー ${username} が安全なメッセージを送信しました
chat_message_received
チャット
ユーザー ${username} が安全なメッセージを受信しました
chat_message_destruct
チャット
ユーザー ${username} がメッセージを自己破壊にセットしました
chat_file_attached
チャット
ユーザー ${username} がファイルを送信しました
chat_contact_added
チャット
ユーザー ${username} が ${to_username} を連絡先として招待しました
chat_login
チャット
ユーザー ${username} が KeeperChat へログインしました
chat_login_failed
チャット
ユーザー ${username} はコード ${result_code} により KeeperChat へログインできませんでした
file_attachment_uploaded
使用法
ユーザー ${username} が記録 UID ${record_uid} の添付ファイル UID ${attachment_id} をアップロードしました
file_attachment_downloaded
使用法
ユーザー ${username} が記録 UID ${record_uid} の添付ファイル UID ${attachment_id} をダウンロードしました
file_attachment_deleted
使用法
ユーザー ${username} が記録 UID ${record_uid} の添付ファイル UID ${attachment_id} を削除しました
audit_alert_created
ポリシー
管理者 ${username} が監査アラート「${name}」を作成しました
audit_alert_deleted
ポリシー
管理者 ${username} が監査アラート「${name}」を削除しました
audit_alert_paused
ポリシー
管理者 ${username} がユーザー ${recipient} の監査アラート「${name}」を一時停止しました
audit_alert_resumed
ポリシー
管理者 ${username} がユーザー ${recipient} の監査アラート「${name}」を一時停止しました
bw_record_high_risk
breachwatch
管理者 ${username} がユーザー ${recipient} の監査アラート「${name}」を再開しました
bw_record_resolved
breachwatch
ユーザー ${username} は高リスクのパスワードを解決しました
msp_attaches_mc
msp
ユーザー ${username} がノード ${node} に企業 ${enterprise} を添付しました
msp_increases_mc_seats
msp
ユーザー ${username} が企業 ${enterprise} 用座席を ${seats_added} 席増やしました
msp_decreases_mc_seats
msp
ユーザー ${username} が企業 ${enterprise} 用座席を ${seats_removed} 席減らしました
msp_changes_mc_plan
msp
ユーザー ${username} が企業 ${enterprise} 用プランを ${plan} へ変更しました
msp_renames_mc
msp
ユーザー ${username} が企業 ${enterprise} の名前を ${enterprise_new} へ変更しました
msp_pauses_mc
msp
ユーザー ${username} が企業 ${enterprise}、${plan}、${seats} 座席を一時停止しました
msp_resumes_mc
msp
ユーザー ${username} が企業 ${enterprise}、${plan}、${seats} 座席を再開しました
msp_removes_mc
msp
ユーザー ${username} が企業 ${enterprise}、${plan}、${seats} 座席を削除しました
msp_deletes_mc
msp
ユーザー ${username} が企業 ${enterprise}、${plan}、${seats} 座席を完全消去しました
msp_creates_mc
msp
ユーザー ${username} が企業 ${enterprise}、${plan}、${seats} 座席を登録しました
enterprise_2fa_disabled_by_admin
セキュリティ
管理者 ${username} がユーザー ${to_username} の 2FA を無効にしました
reauthentication_reprompt_success
セキュリティ
ユーザー ${username} の再認証を正常に完了しました
reauthentication_reprompt_throttle
セキュリティ
ユーザー ${username} の再認証を抑制しました
scim_access_failure
セキュリティ
ノード ${node} での SCIM プロビジョニングが ${failure_count} 回、認証に失敗しました トークン ${token_id}...
device_approved
セキュリティ
ユーザー ${username} が使用するデバイス ${deviceName} が承認されました
device_admin_approval_requested
セキュリティ
ユーザー ${username} がデバイス ${device_name} の管理者承認をリクエストしました
device_approved_by_admin
セキュリティ
管理者 ${username} がユーザー ${to_username} のデバイス ${deviceName} を承認しました
device_user_approval_requested
セキュリティ
ユーザー ${username} がデバイス ${device_name} の自己承認をリクエストしました
out_of_seats
ポリシー
${enterprise} 用ライセンスが許可されている最大ユーザー数に到達しました
scim_access_failure
セキュリティ
ノード ${node} での SCIM プロビジョニングが ${failure_count} 回、認証に失敗しました トークン ${token_id}
record_type_created
ポリシー
管理者 ${username} が記録タイプ 「${name}」を作成しました
record_type_updated
ポリシー
管理者 ${username} は記録タイプ「${name}」を更新しました
record_type_deleted
ポリシー
管理者 ${username} が記録タイプ「${name}」を削除しました)

Raw イベントデータの例

以下は、送信される JSON 形式の 2 つのイベントの例です。 特定の記録に関連しているため、記録 UID は「record_update」イベントと共に提供されることに注意してください。
{
"record_uid" : "Uk6qLnfWVxWL9OQlsGdOUw",
"audit_event" : "record_update",
"remote_address" : "155.65.556.130",
"client_version" : "Browser Extensions.12.3.0",
"timestamp" : "2019-02-14T22:41:12.027Z",
"username" : "[email protected]",
"enterprise_id" : 12345
}
{
"audit_event" : "login",
"remote_address" : "168.123.45.130",
"client_version" : "Web App.14.2.4",
"timestamp" : "2019-02-14T22:40:08.655Z",
"username" : "[email protected]",
"client_version_new" : true,
"enterprise_id" : 12345
}
以下は、Keeper Commander を介して、またはサードパーティの SIEM ソリューションにエクスポートできる Syslog 形式のイベント例です:
<110>1 2019-02-14T21:34:47Z 46.45.253.15 Keeper - 1132431639 [[email protected] geo_location="Chicago, IL, US" keeper_version_category="MOBILE" audit_event_type="login_failure" keeper_version="iPhone 14.2.0" result_code="auth_failed" username="[email protected]" node_id="47377784242178"] User [email protected] login failed with code auth_failed
「enterprise_id」は、同じ SIEM コレクター内の異なる Keeper Enterprise テナントを区別するのに役立ちます。

記録 UID とその他の識別子の検索

イベントデータは、記録 UID、共有フォルダ UID、チーム UID など、数種類の UID 値を参照します。 記録 UID と共有フォルダ UID は、Keeper Commander の CLI またはウェブボルトのユーザーインターフェイスで確認できます。
記録情報
UID