# レポート作成、アラート、SIEM
## 概要
Keeperの高度なレポートとアラートモジュール (Advanced Reporting and Alerts Module, ARAM) では、各種ツールを利用して全体的な利用状況やポリシーへの準拠を監視できます。
## 主な機能
* **レポート作成エンジン**\
期間ごとのカスタムレポートを作成します 。セキュリティイベント、管理者の操作、一般的な利用状況、KeeperPAM, KSMなど、カテゴリ別に分類された200以上のさまざまなイベントタイプが表示されます。ユーザー、イベントタイプ、属性 (レコードUID、共有フォルダUID、位置情報など) で絞り込むこともできます。
* **アラート**\
ポリシーの変更時に管理者に通知するなど、特定のイベントタイプに基づいてアラートを設定し、メール、SMS、Webhookで送信します。
* **ITSM連携**
Keeperは、ServiceNowやJiraなどの主要なITSMプラットフォームと連携できます。
* **外部ログ**\
Microsoft Sentinel、Splunk、Crowdstrike、Google Security Operations、Elasticなどの既存のSIEMソリューションと統合します。
* **BreachWatch**\
リスクの高いパスワードの通知を受けたユーザーやリスクの高いパスワードに対処したユーザーなど、BreachWatchのイベントに関して通知を送信したり追跡したりします。
* **コマンダーCLI/SDKの統合**\
Keeperコマンダーを利用すると、カスタムレポートの作成や自動化処理が可能です。
* **コンプライアンス監査**\
SOX、ISO、SOCのコンプライアンス監査要件に対処するためのレポートを作成できます。
{% embed url="" %}
## レポート作成
レポートとアラート
レポートとアラートダッシュボードには、上位5つのイベント、2つの標準レポート、カスタムレポートの概要が表示されます。「最近のアクティビティ」レポートは標準レポートの1つで、16種類のイベントタイプに渡る直近1000件のイベントの追跡が可能です。 高度なレポートとアラートモジュールにアップグレードすることで、200種類を超えるイベントタイプの追跡、カスタムレポートの作成、アラートの通知をご使用になれます。
{% hint style="info" %}
「最近のアクティビティ」レポートおよび「すべてのセキュリティイベント」レポートは、Keeper ビジネスおよびエンタープライズのすべてのサブスクリプションでご利用になれます。 カスタムレポートとアラートは、高度なレポートとアラートモジュール (ARAM) の機能の1つとなります。本機能をご利用になるには、Keeper Securityのアカウントマネージャに問い合わせください。または、管理コンソールのアドオンタブで、サブスクリプションをアップグレードしてください。
また、ダッシュボードから、ユーザーステータスのレポートもご利用になれます。詳しくは、[管理コンソールページのダッシュボードの項](https://docs.keeper.io/jp/enterprise-guide/getting-started-with-keeper-admin-console#dasshubdo)をご参照ください。
{% endhint %}
**\[カスタムレポートを追加]** をクリックするとカスタムレポートを作成できます。
**\[適用]** をクリックすると、結果をプレビューできます。このレポートを使用する場合は **\[保存]** をクリックします。イベントは、JSON、CSV、SysLogの各形式のファイルとしてエクスポートできます。
{% hint style="info" %}
Keeperボルトで生成された新しいイベントがレポートモジュールに反映されるまで最大15分かかる場合があります。
{% endhint %}
### IPアドレスに基づく位置情報
IPアドレスに基づく位置情報の精度は、ユーザーの位置の特定に使用されるデータベースによって異なります。また、複数の要因によっても左右されます。レジストリが、受信したデータをどの程度正確に検証できるかということが最も重要となります。 IPアドレスに紐付けられている情報が不正確な場合、有用性が低下します。 IPアドレスが頻繁に変更されたり、モバイルキャリアがユーザーのインターネットアクセスに集中型のゲートウェイを使用している携帯電話の場合、位置情報の特定は著しく困難になります。 また、ユーザーがプロキシやVPNの位置データを使用している場合も、データは不正確になります。
Keeperでは、業界で最も信頼されるプロバイダの1つを利用しています。そのプロバイダでは、定期的に公開されている既知のIPアドレスと照合してデータ品質を検証することで、品質保証を行っています。
## タイムライングラフ
タイムライングラフの期間は、24時間、7日、30日間から選択できます。任意のイベントが記載された行をクリックすると、その期間内でそのイベントのすべての事例が表示されたレポートが開きます。
## アラート
アラートモジュールを使用すると、イベントに基づいたアラートを生成できます。アラートはメールまたはSMSで送信されます。
アラート
新しいアラートは、新しいレポートと同様に **\[アラートを追加]** をクリックし、名前とフィルター条件を指定して作成します。受信者は1人以上追加でき、メールアドレス、電話番号 (SMS用)、またはその両方を指定できます。受信者はは組織の一員である必要はなく、任意のメールアドレスや電話番号を指定できます。最初の受信者は、イベントを**発生させた**ユーザーがあらかじめ設定されます。これはデフォルトで「オフ」になっており、アラート (メールのみ) を送信するには「オン」に切り替える必要があります。
{% hint style="info" %}
イベントタイプや属性フィルタの指定範囲が広い場合、大量のアラートが生成される場合があります。アラートの頻度、イベントタイプと属性フィルタを調整することでアラートの量を軽減します。
{% endhint %}
大量のメールやSMSが受信者に届かないようにアラートを抑制するには、**アラート頻度**を指定します。たとえば、頻度を「期間中に1回」に設定し、期間を1時間に設定した場合、アラートフィルタに一致するすべてのイベントは引き続きアラートを発生させますが、アラートメッセージについては前回のアラートメッセージが送信されてから1時間経過した際に送信されます。また、トグルボタンを使用してアラートを一時停止することもできます。一時停止すると、アラートは発生し続けますが、実際のアラートメッセージは送信されません。一時停止を解除すると、次にアラートに一致するイベントが発生する際にアラートメッセージが送信されます。その際には一時停止中に発生したイベントを全て含んんだメッセージが送信されます。
以下は、メールでのアラートの例となります。
アラート履歴は、**「送信済みアラート」**タブで閲覧できます。個々のアラートの詳細も確認できます。
## 外部のSIEMログ
サードパーティのSIEMソリューションを利用している場合、Keeper管理コンソールを構成することで、ライブイベントデータを自動的にフィードすることができます。以下は現在対応しているソリューションとなります。
イベントデータは、Keeperのサーバーから対象のSIEMコレクタへ送信されます。同期は1つの外部ソリューションに対してのみ有効にできます。
外部ログ
**\[セットアップ]** をクリックして、外部ログを有効にします。 各ソリューションのセットアップは容易で、通常は統合に必要な属性は少数です。
## イベントタイプ
管理コンソール内のデフォルトの「最近のアクティビティ」レポートには、16種類のイベントタイプが含まれています。 Keeperの高度なレポートとアラートモジュールでは、200種類に上るイベントタイプがサポートされています。
Keeperエンタープライズによって検出されるイベントは、レポートとアラートの画面のドロップダウンメニューから閲覧できます。
## BreachWatch関連イベントを有効にする
デフォルトでは、エンドユーザー端末のBreachWatch関連イベントは収集されず、高度なレポートとアラートモジュールには転送されません。 これらのイベントは、ロールポリシーを介して管理します。この機能を有効にするには、**\[管理者]** 画面から**\[ロール] > \[強制ポリシー] > \[ボルト機能]** に移動し、**\[BreachWatch関連イベントをレポート&アラートおよび接続済み外部ログシステムへ送信]** をONに切り替えます。
## イベント情報
以下の表は、Keeperの高度なレポートとアラートモジュールで検出されるイベントの一覧となります。イベントコードは、ユーザーインターフェースおよびKeeperコマンダーCLIコマンドパラメータ内で使用されます。「メッセージ」フィールドは、アラートモジュールに使用されます。
各イベント内には、レコードUID、共有フォルダUID、チームUID、ユーザー名などの属性が存在する場合があります。これらの属性はイベントメッセージに表示され、サードパーティSIEMプロバイダにも指定された形式で送信されます。
{% embed url="" %}
## 生イベントデータの例
以下は、JSON形式で送信された2つのイベントの例となります。「record\_update」イベントは特定のレコードに関係するため、レコードUIDが表示されています。
```
{
"record_uid" :"Uk6qLnfWVxWL9OQlsGdOUw",
"audit_event" : "record_update",
"remote_address" :"155.65.556.130",
"client_version" :"Browser Extensions.12.3.0",
"timestamp" :"2019-02-14T22:41:12.027Z",
"username" : "testing@keepersecurity.com",
"enterprise_id" :12345
}
{
"audit_event" : "login",
"remote_address" :"168.123.45.130",
"client_version" :"Web App.14.2.4",
"timestamp" :"2019-02-14T22:40:08.655Z",
"username" : "demo@keepersecurity.com",
"client_version_new" : true,
"enterprise_id" :12345
}
```
以下は、Syslog形式のイベントの例となります。Keeperコマンダーを介してのエクスポートしたり、サードパーティ製のSIEMソリューションにエクスポートしたりできます。
{% code overflow="wrap" %}
```
<110>1 2019-02-14T21:34:47Z 46.45.253.15 Keeper - 1132431639 [Keeper@Commander geo_location="Chicago, IL, US" keeper_version_category="MOBILE" audit_event_type="login_failure" keeper_version="iPhone 14.2.0" result_code="auth_failed" username="testing@keepersecurity.com" node_id="47377784242178"] User testing@keepersecurity.com login failed with code auth_failed
```
{% endcode %}
「enterprise\_id」は、同じSIEMコレクタ内にあるさまざまなKeeperエンタープライズのテナントを区別するのに役立ちます。
## レコードUIDなどの識別子を検索
イベントデータでは、レコードUID、共有フォルダUID、チームUIDなどのさまざまなタイプのUID値が参照されています。レコードUIDと共有フォルダUIDについては、KeeperコマンダーCLIまたはウェブボルトから確認できます。
## コマンダーCLI
KeeperコマンダーCLIを使用すると、コマンドラインとSDKをKeeperのレポートシステムに統合し、高度な用途に対応できます。そのため、イベントデータを実用的なレポートの生成に使用できます。
詳細については、以下の[レポート関連コマンド](https://app.gitbook.com/s/-MJXOXEifAmpyvNVL1to/commander-cli/command-reference/reporting-commands/report-types)をご参照ください。
* [audit-log](https://app.gitbook.com/s/PL6k1aGsLiFiiJ3Y7zCl/commander-cli/command-reference/reporting-commands#audit-log-command)
* [audit-report](https://app.gitbook.com/s/PL6k1aGsLiFiiJ3Y7zCl/commander-cli/command-reference/reporting-commands#audit-report-command)
* [user-report](https://app.gitbook.com/s/PL6k1aGsLiFiiJ3Y7zCl/commander-cli/command-reference/reporting-commands#user-report-command)
* [security-audit-report](https://app.gitbook.com/s/PL6k1aGsLiFiiJ3Y7zCl/commander-cli/command-reference/reporting-commands#security-audit-report-command)
* [share-report](https://app.gitbook.com/s/PL6k1aGsLiFiiJ3Y7zCl/commander-cli/command-reference/reporting-commands#share-report-command)
* [shared-records-report](https://app.gitbook.com/s/PL6k1aGsLiFiiJ3Y7zCl/commander-cli/command-reference/reporting-commands#shared-records-report-command)
* [msp-license-report](https://app.gitbook.com/s/PL6k1aGsLiFiiJ3Y7zCl/commander-cli/command-reference/reporting-commands#msp-license-report-command)
* [aging-report](https://app.gitbook.com/s/PL6k1aGsLiFiiJ3Y7zCl/commander-cli/command-reference/reporting-commands#aging-report-command)
* [action-report](https://app.gitbook.com/s/PL6k1aGsLiFiiJ3Y7zCl/commander-cli/command-reference/reporting-commands#action-report-command)
* [compliance-report](https://app.gitbook.com/s/PL6k1aGsLiFiiJ3Y7zCl/commander-cli/command-reference/reporting-commands#compliance-report-command)