レポート作成、アラート、SIEM
Keeperの高度なレポートとアラートモジュールの詳細なイベントログ機能でコンプライアンス要件に対応
概要
Keeperの高度なレポートとアラートモジュール (Advanced Reporting and Alerts Module, ARAM) では、各種ツールを利用して全体的な利用状況やポリシーへの準拠を監視できます。
主な機能
レポート作成エンジン 期間ごとのカスタムレポートを作成します 。セキュリティイベント、管理者の操作、一般的な利用状況、KeeperPAM, KSMなど、カテゴリ別に分類された200以上のさまざまなイベントタイプが表示されます。ユーザー、イベントタイプ、属性 (レコードUID、共有フォルダUID、位置情報など) で絞り込むこともできます。
アラート ポリシーの変更時に管理者に通知するなど、特定のイベントタイプに基づいてアラートを設定し、メール、SMS、Webhookで送信します。
外部ログ Splunk、Sumo、LogRhythmなど既存のSIEMソリューションと統合します。
BreachWatch リスクの高いパスワードの通知を受けたユーザーやリスクの高いパスワードに対処したユーザーなど、BreachWatchのイベントに関して通知を送信したり追跡したりします。
コマンダーCLI/SDKの統合 Keeperコマンダーを利用すると、カスタムレポートの作成や自動化処理が可能です。
コンプライアンス監査 SOX、ISO、SOCのコンプライアンス監査要件に対処するためのレポートを作成できます。
レポート作成
レポートとアラートダッシュボードには、上位5つのイベント、2つの標準レポート、カスタムレポートの概要が表示されます。「最近のアクティビティ」レポートは標準レポートの1つで、16種類のイベントタイプに渡る直近1000件のイベントの追跡が可能です。 高度なレポートとアラートモジュールにアップグレードすることで、100種類を超えるイベントタイプの追跡、カスタムレポートの作成、アラートの通知をご使用になれます。
[カスタムレポートを追加]をクリックするとカスタムレポートを作成できます。
[適用]をクリックすると、結果をプレビューできます。このレポートを使用する場合は[保存]をクリックします。イベントは、JSON、CSV、SysLogの各形式のファイルとしてエクスポートできます。
IPアドレスに基づく位置情報
IPアドレスに基づく位置情報の精度は、ユーザーの位置の特定に使用されるデータベースによって異なります。また、複数の要因によっても左右されます。レジストリが、受信したデータをどの程度正確に検証できるかということが最も重要となります。 IPアドレスに紐付けられている情報が不正確な場合、有用性が低下します。 IPアドレスが頻繁に変更されたり、モバイルキャリアがユーザーのインターネットアクセスに集中型のゲートウェイを使用している携帯電話の場合、位置情報の特定は著しく困難になります。 また、ユーザーがプロキシやVPNの位置データを使用している場合も、データは不正確になります。
Keeperでは、業界で最も信頼されるプロバイダの1つを利用しています。そのプロバイダでは、定期的に公開されている既知のIPアドレスと照合してデータ品質を検証することで、品質保証を行っています。
タイムライングラフ
タイムライングラフの期間は、24時間、7日、30日間から選択できます。任意のイベントが記載された行をクリックすると、その期間内でそのイベントのすべての事例が表示されたレポートが開きます。
アラート
アラートモジュールを使用すると、イベントに基づいたアラートを生成できます。アラートはメールまたはSMSで送信されます。
新しいアラートは、[アラートを追加]をクリックし、名前とフィルタ条件を指定して作成します。メールアドレス、電話番号 (SMS用)、あるいはその両方を使用して、1人または複数人の受信者を追加できます。受信者は組織の一員である必要はなく、任意のメールアドレスまたは電話番号をご使用になれます。画面下部の受信者のセクションではアラート作成者が最初の受信者に設定されていますが、デフォルトではトグルボタンがOFFになっています。アラート作成者へのアラートを送信するには、トグルボタンをONに切り替えます。
大量のメールやSMSが受信者に届かないようにアラートを抑制するには、アラート頻度を指定します。たとえば、頻度を「期間中に1回」に設定し、期間を1時間に設定した場合、アラートフィルタに一致するすべてのイベントは引き続きアラートを発生させますが、アラートメッセージについては前回のアラートメッセージが送信されてから1時間経過した際に送信されます。また、トグルボタンを使用してアラートを一時停止することもできます。一時停止すると、アラートは発生し続けますが、実際のアラートメッセージは送信されません。一時停止を解除すると、次にアラートに一致するイベントが発生する際にアラートメッセージが送信されます。その際には一時停止中に発生したイベントを全て含んんだメッセージが送信されます。
以下は、メールでのアラートの例となります。
アラート履歴は、「送信済みアラート」タブで閲覧できます。個々のアラートの詳細も確認できます。
外部のSIEMログ
サードパーティのSIEMソリューションを利用している場合、Keeper管理コンソールを構成することで、ライブイベントデータを自動的にフィードすることができます。以下は現在対応しているソリューションとなります。
Chronicle (近日対応予定)
イベントデータは、Keeperのサーバーから対象のSIEMコレクタへ送信されます。同期は1つの外部ソリューションに対してのみ有効にできます。
[セットアップ]をクリックして、外部ログを有効にします。 各ソリューションのセットアップは容易で、通常は統合に必要な属性は少数です。
イベントタイプ
管理コンソール内のデフォルトの「最近のアクティビティ」レポートには、16種類のイベントタイプが含まれています。 Keeperの高度なレポートとアラートモジュールでは、200種類に上るイベントタイプがサポートされています。
Keeperエンタープライズによって検出されるイベントは、レポートとアラートの画面のドロップダウンメニューから閲覧できます。
BreachWatch関連イベントを有効にする
デフォルトでは、エンドユーザー端末のBreachWatch関連イベントは収集されず、高度なレポートとアラートモジュールには転送されません。 これらのイベントは、ロールポリシーを介して管理します。この機能を有効にするには、[管理者]画面から[ロール] > [強制ポリシー] > [ボルト機能]に移動し、[BreachWatch関連イベントをレポート&アラートおよび接続済み外部ログシステムへ送信]をONに切り替えます。
イベント情報
以下の表は、Keeperの高度なレポートとアラートモジュールで検出されるイベントの一覧となります。イベントコードは、ユーザーインターフェースおよびKeeperコマンダーCLIコマンドパラメータ内で使用されます。「メッセージ」フィールドは、アラートモジュールに使用されます。
各イベント内には、レコードUID、共有フォルダUID、チームUID、ユーザー名などの属性が存在する場合があります。これらの属性はイベントメッセージに表示され、サードパーティSIEMプロバイダにも指定された形式で送信されます。
生イベントデータの例
以下は、JSON形式で送信された2つのイベントの例となります。「record_update」イベントは特定のレコードに関係するため、レコードUIDが表示されています。
以下は、Syslog形式のイベントの例となります。Keeperコマンダーを介してのエクスポートしたり、サードパーティ製のSIEMソリューションにエクスポートしたりできます。
「enterprise_id」は、同じSIEMコレクタ内にあるさまざまなKeeperエンタープライズのテナントを区別するのに役立ちます。
レコードUIDなどの識別子を検索
イベントデータでは、レコードUID、共有フォルダUID、チームUIDなどのさまざまなタイプのUID値が参照されています。レコードUIDと共有フォルダUIDについては、KeeperコマンダーCLIまたはウェブボルトから確認できます。
コマンダーCLI
KeeperコマンダーCLIを使用すると、コマンドラインとSDKをKeeperのレポートシステムに統合し、高度な用途に対応できます。そのため、イベントデータを実用的なレポートの生成に使用できます。
詳細については、以下のレポート関連コマンドをご参照ください。
Last updated