推奨アラート

高度なレポートシステムのベストプラクティスと推奨アラート

Keeperの高度なレポートシステムにはアラート機能が搭載されており、ユーザーと管理者に重要なイベントについての通知が送信されます。 Keeper管理者向けに推奨アラートのリストをご用意しました。

アラートを作成するには、管理コンソールにログインし、[レポートとアラート] > [アラート]の順ににアクセスします。

アラートを利用できるのは、高度なレポートとアラートモジュールに登録しているユーザーのみとなります。詳細については、Keeperカスタマーサクセスの担当者にお問い合わせください。

管理者ポリシーの変更

Keeper管理コンソールで行われた管理上の変更が、プラットフォームのセキュリティや利用に影響を与える場合は、必ずKeeper管理者が把握しておくことが重要となります。そのため、「ポリシー変更」関連イベントについてはすべて通知を有効にしておきましょう。

このカテゴリーの重要なシステムイベントには、以下のようなものがあります。

イベント	脅威/説明
ノードを作成	この操作が承認されていることを確かにします。
ノードを削除	この操作が承認されていることを確かにします。
ロールを作成	この操作が承認されていることを確かにします。
ロールを削除	この操作が承認されていることを確かにします。
チームを作成	この操作が承認されていることを確かにします。
チームを削除	チームを削除すると、共有フォルダへのアクセス権も削除される可能性があります。この操作が承認されていることを確かにします。
ロールポリシーを変更	ロール強制適用ポリシーは、様々な脅威ベクターに影響する可能性があります。
2FA構成を設定	DuoまたはRSAの統合に問題が生じるおそれがあります。
アラートの作成	高度なレポートシステムで管理者によってアラートが作成されました。
アラートの削除	管理者によってアラートが削除されました。検出の妨げとなるおそれがあるため、想定内の操作であることを確かにします。
アラートの一時停止	管理者によってアラートが一時停止されました。検出の妨げとなるおそれがあるため、想定内の操作であることを確かにします。
ライセンスが最大数に到達	最大ユーザー数に達しつつある場合に通知し、新しいユーザーを登録できるようにします。

イベント

脅威/説明

ノードを作成

この操作が承認されていることを確かにします。

ノードを削除

この操作が承認されていることを確かにします。

ロールを作成

この操作が承認されていることを確かにします。

ロールを削除

この操作が承認されていることを確かにします。

チームを作成

この操作が承認されていることを確かにします。

チームを削除

チームを削除すると、共有フォルダへのアクセス権も削除される可能性があります。この操作が承認されていることを確かにします。

ロールポリシーを変更

ロール強制適用ポリシーは、様々な脅威ベクターに影響する可能性があります。

2FA構成を設定

DuoまたはRSAの統合に問題が生じるおそれがあります。

アラートの作成

高度なレポートシステムで管理者によってアラートが作成されました。

アラートの削除

管理者によってアラートが削除されました。検出の妨げとなるおそれがあるため、想定内の操作であることを確かにします。

アラートの一時停止

管理者によってアラートが一時停止されました。検出の妨げとなるおそれがあるため、想定内の操作であることを確かにします。

ライセンスが最大数に到達

最大ユーザー数に達しつつある場合に通知し、新しいユーザーを登録できるようにします。

ユーザー管理とセキュリティの変更

ユーザー関連の変更が発生した場合は、Keeper管理者 (ならびに管理を行うユーザー) に通知されるようにしましょう。少なくとも、「セキュリティ」カテゴリ内の重要なイベントについては、アラートを生成しておきましょう。

重要なユーザー管理とセキュリティの変更に関するイベントには、以下のようなものがあります。

イベント	脅威/説明
ユーザーを招待	承認されたユーザーのみが招待されるようにします。
ユーザーを作成	エンタープライズに参加するユーザーが承認されていることを確かにします。
ユーザーを削除	ユーザーの削除が承認されていることを確かにします。この操作により、ボルトの内容もすべて削除されます。
ユーザーをロック	管理者がプラットフォームからユーザーをロックしました。この操作が承認されていることを確認かにします。
管理者による2FA解除	Keeper管理者がユーザーの二要素認証を無効化しました。この操作が承認されていることを確かにします。
デバイスの承認	ユーザーが新しいデバイスにサインインしました。このイベントで、ユーザー数によっては大量のアラートが生成される可能性があります。
デバイスの管理者承認要請	新しいデバイスの承認を求めるユーザーに対応します。管理コンソールにログインして承認します。
ボルトを移管	ユーザーのボルトが別のユーザーアカウントに移管されました。この操作が承認されていることを確かにします。
管理者権限を付与	ユーザーが管理権限を持つロールに追加されました。このユーザーが管理者の業務を行うことが承認されていることを確かにします。

イベント

脅威/説明

ユーザーを招待

承認されたユーザーのみが招待されるようにします。

ユーザーを作成

エンタープライズに参加するユーザーが承認されていることを確かにします。

ユーザーを削除

ユーザーの削除が承認されていることを確かにします。この操作により、ボルトの内容もすべて削除されます。

ユーザーをロック

管理者がプラットフォームからユーザーをロックしました。この操作が承認されていることを確認かにします。

管理者による2FA解除

Keeper管理者がユーザーの二要素認証を無効化しました。この操作が承認されていることを確かにします。

デバイスの承認

ユーザーが新しいデバイスにサインインしました。このイベントで、ユーザー数によっては大量のアラートが生成される可能性があります。

デバイスの管理者承認要請

新しいデバイスの承認を求めるユーザーに対応します。管理コンソールにログインして承認します。

ボルトを移管

ユーザーのボルトが別のユーザーアカウントに移管されました。この操作が承認されていることを確かにします。

管理者権限を付与

ユーザーが管理権限を持つロールに追加されました。このユーザーが管理者の業務を行うことが承認されていることを確かにします。

パスワード侵害の検出

BreachWatchを利用することで、ダークウェブの侵害データを積極的に監視し、ユーザーのパスワードの脆弱性を把握できます。レコード内のパスワードが既知の漏えいで見つかりと、組織がクレデンシャルスタッフィング攻撃やアカウントの乗っ取りに対して脆弱になる可能性があるため、ユーザーと管理者に通知が送信されます。

アラートを設定する前に、BreachWatchのイベントが高度なレポートとアラートモジュールに送信されるように設定されていることを確かにします (デフォルトでは無効)。

ポリシーの対象となるユーザーの[ロール] > [強制ポリシー] > [ボルト機能]に移動して、該当の設定のトグルボタンをONにします。

高度なレポートとアラートモジュールのアラート画面で、BreachWatchカテゴリー内の3つのイベントすべてに対してアラートを作成します。

重要なBreachWatchイベントには、以下のようなものがあります。

イベント	脅威/説明
BreahWatchが脆弱なマスターパスワードを検知	脆弱なパスワードまたはダークウェブに流出したパスワードを使用してレコードを作成したか、データをインポートしました。
脆弱なマスターパスワード検出を無視	パスワード侵害の検出で「無視」をクリックしました。
脆弱なレコード内パスワード検出に対処	以前BreachWatchによってパスワード侵害が検出されたパスワードを変更しました。

イベント

脅威/説明

BreahWatchが脆弱なマスターパスワードを検知

脆弱なパスワードまたはダークウェブに流出したパスワードを使用してレコードを作成したか、データをインポートしました。

脆弱なマスターパスワード検出を無視

パスワード侵害の検出で「無視」をクリックしました。

脆弱なレコード内パスワード検出に対処

以前BreachWatchによってパスワード侵害が検出されたパスワードを変更しました。