レポート作成、アラート、SIEM
Keeperの高度なレポートとアラートモジュールの詳細なイベントログ機能でコンプライアンス要件に対応
Last updated
エンタープライズガイド (企業、組織向け)
Keeperの高度なレポートとアラートモジュールの詳細なイベントログ機能でコンプライアンス要件に対応
Last updated
Keeperの高度なレポートとアラートモジュール (Advanced Reporting and Alerts Module, ARAM) では、各種ツールを利用して全体的な利用状況やポリシーへの準拠を監視できます。
レポート作成エンジン 期間ごとのカスタムレポートを作成します 。セキュリティイベント、管理者の操作、一般的な利用状況、KeeperPAM, KSMなど、カテゴリ別に分類された200以上のさまざまなイベントタイプが表示されます。ユーザー、イベントタイプ、属性 (レコードUID、共有フォルダUID、位置情報など) で絞り込むこともできます。
アラート ポリシーの変更時に管理者に通知するなど、特定のイベントタイプに基づいてアラートを設定し、メール、SMS、Webhookで送信します。
外部ログ Splunk、Sumo、LogRhythmなど既存のSIEMソリューションと統合します。
BreachWatch リスクの高いパスワードの通知を受けたユーザーやリスクの高いパスワードに対処したユーザーなど、BreachWatchのイベントに関して通知を送信したり追跡したりします。
コマンダーCLI/SDKの統合 Keeperコマンダーを利用すると、カスタムレポートの作成や自動化処理が可能です。
コンプライアンス監査 SOX、ISO、SOCのコンプライアンス監査要件に対処するためのレポートを作成できます。
レポートとアラートダッシュボードには、上位5つのイベント、2つの標準レポート、カスタムレポートの概要が表示されます。「最近のアクティビティ」レポートは標準レポートの1つで、16種類のイベントタイプに渡る直近1000件のイベントの追跡が可能です。 高度なレポートとアラートモジュールにアップグレードすることで、100種類を超えるイベントタイプの追跡、カスタムレポートの作成、アラートの通知をご使用になれます。
[カスタムレポートを追加] をクリックするとカスタムレポートを作成できます。
[適用] をクリックすると、結果をプレビューできます。このレポートを使用する場合は [保存] をクリックします。イベントは、JSON、CSV、SysLogの各形式のファイルとしてエクスポートできます。
IPアドレスに基づく位置情報の精度は、ユーザーの位置の特定に使用されるデータベースによって異なります。また、複数の要因によっても左右されます。レジストリが、受信したデータをどの程度正確に検証できるかということが最も重要となります。 IPアドレスに紐付けられている情報が不正確な場合、有用性が低下します。 IPアドレスが頻繁に変更されたり、モバイルキャリアがユーザーのインターネットアクセスに集中型のゲートウェイを使用している携帯電話の場合、位置情報の特定は著しく困難になります。 また、ユーザーがプロキシやVPNの位置データを使用している場合も、データは不正確になります。
Keeperでは、業界で最も信頼されるプロバイダの1つを利用しています。そのプロバイダでは、定期的に公開されている既知のIPアドレスと照合してデータ品質を検証することで、品質保証を行っています。
タイムライングラフの期間は、24時間、7日、30日間から選択できます。任意のイベントが記載された行をクリックすると、その期間内でそのイベントのすべての事例が表示されたレポートが開きます。
アラートモジュールを使用すると、イベントに基づいたアラートを生成できます。アラートはメールまたはSMSで送信されます。
新しいアラートは、新しいレポートと同様に [アラートを追加] をクリックし、名前とフィルター条件を指定して作成します。受信者は1人以上追加でき、メールアドレス、電話番号 (SMS用)、またはその両方を指定できます。受信者はは組織の一員である必要はなく、任意のメールアドレスや電話番号を指定できます。最初の受信者は、イベントを発生させたユーザーがあらかじめ設定されます。これはデフォルトで「オフ」になっており、アラート (メールのみ) を送信するには「オン」に切り替える必要があります。
大量のメールやSMSが受信者に届かないようにアラートを抑制するには、アラート頻度を指定します。たとえば、頻度を「期間中に1回」に設定し、期間を1時間に設定した場合、アラートフィルタに一致するすべてのイベントは引き続きアラートを発生させますが、アラートメッセージについては前回のアラートメッセージが送信されてから1時間経過した際に送信されます。また、トグルボタンを使用してアラートを一時停止することもできます。一時停止すると、アラートは発生し続けますが、実際のアラートメッセージは送信されません。一時停止を解除すると、次にアラートに一致するイベントが発生する際にアラートメッセージが送信されます。その際には一時停止中に発生したイベントを全て含んんだメッセージが送信されます。
以下は、メールでのアラートの例となります。
アラート履歴は、「送信済みアラート」タブで閲覧できます。個々のアラートの詳細も確認できます。
サードパーティのSIEMソリューションを利用している場合、Keeper管理コンソールを構成することで、ライブイベントデータを自動的にフィードすることができます。以下は現在対応しているソリューションとなります。
Chronicle (2025年6月対応予定)
Crowdstrike NG SIEM (2025年6月対応予定)
イベントデータは、Keeperのサーバーから対象のSIEMコレクタへ送信されます。同期は1つの外部ソリューションに対してのみ有効にできます。
[セットアップ] をクリックして、外部ログを有効にします。 各ソリューションのセットアップは容易で、通常は統合に必要な属性は少数です。
管理コンソール内のデフォルトの「最近のアクティビティ」レポートには、16種類のイベントタイプが含まれています。 Keeperの高度なレポートとアラートモジュールでは、200種類に上るイベントタイプがサポートされています。
Keeperエンタープライズによって検出されるイベントは、レポートとアラートの画面のドロップダウンメニューから閲覧できます。
デフォルトでは、エンドユーザー端末のBreachWatch関連イベントは収集されず、高度なレポートとアラートモジュールには転送されません。 これらのイベントは、ロールポリシーを介して管理します。この機能を有効にするには、[管理者] 画面から[ロール] > [強制ポリシー] > [ボルト機能] に移動し、[BreachWatch関連イベントをレポート&アラートおよび接続済み外部ログシステムへ送信] をONに切り替えます。
以下の表は、Keeperの高度なレポートとアラートモジュールで検出されるイベントの一覧となります。イベントコードは、ユーザーインターフェースおよびKeeperコマンダーCLIコマンドパラメータ内で使用されます。「メッセージ」フィールドは、アラートモジュールに使用されます。
各イベント内には、レコードUID、共有フォルダUID、チームUID、ユーザー名などの属性が存在する場合があります。これらの属性はイベントメッセージに表示され、サードパーティSIEMプロバイダにも指定された形式で送信されます。
以下は、JSON形式で送信された2つのイベントの例となります。「record_update」イベントは特定のレコードに関係するため、レコードUIDが表示されています。
以下は、Syslog形式のイベントの例となります。Keeperコマンダーを介してのエクスポートしたり、サードパーティ製のSIEMソリューションにエクスポートしたりできます。
「enterprise_id」は、同じSIEMコレクタ内にあるさまざまなKeeperエンタープライズのテナントを区別するのに役立ちます。
イベントデータでは、レコードUID、共有フォルダUID、チームUIDなどのさまざまなタイプのUID値が参照されています。レコードUIDと共有フォルダUIDについては、KeeperコマンダーCLIまたはウェブボルトから確認できます。
KeeperコマンダーCLIを使用すると、コマンドラインとSDKをKeeperのレポートシステムに統合し、高度な用途に対応できます。そのため、イベントデータを実用的なレポートの生成に使用できます。
また、ダッシュボードから、ユーザーステータスのレポートもご利用になれます。詳しくは、をご参照ください。
詳細については、以下のをご参照ください。
