# レポート作成、アラート、SIEM

<figure><img src="/files/kTkx7DGsjjSh0lJHBl2c" alt=""><figcaption></figcaption></figure>

## 概要

Keeperの高度なレポートとアラートモジュール (Advanced Reporting and Alerts Module, ARAM) では、各種ツールを利用して全体的な利用状況やポリシーへの準拠を監視できます。

## 主な機能

{% embed url="<https://vimeo.com/859888881?share=copy>" %}

## レポート作成

<figure><img src="/files/Lb3uCqrZ9Mx82YPwM4fh" alt=""><figcaption><p>レポートとアラート</p></figcaption></figure>

レポートとアラートダッシュボードには、上位5つのイベント、2つの標準レポート、カスタムレポートの概要が表示されます。「最近のアクティビティ」レポートは標準レポートの1つで、200種類を超えるイベントタイプにわたる直近1000件のイベントを追跡します。高度なレポートとアラートモジュールにアップグレードすると、カスタムレポートの生成と保存、およびアラート通知が利用できます。

{% hint style="info" %}
「最近のアクティビティ」レポートおよび「すべてのセキュリティイベント」レポートは、Keeperビジネスおよびエンタープライズのすべてのサブスクリプションで利用できます。カスタムレポートとアラートは、高度なレポートとアラートモジュール (ARAM) の機能です。本機能を利用するには、Keeper Securityのアカウントマネージャーにお問い合わせいただくか、管理コンソールのアドオンタブからサブスクリプションをアップグレードしてください。

また、ダッシュボードから、ユーザーステータスのレポートもご利用になれます。詳しくは、[管理コンソールページのダッシュボードの項](/jp/enterprise-guide/getting-started-with-keeper-admin-console.md#dasshubdo)をご参照ください。
{% endhint %}

**\[カスタムレポートを追加]** をクリックするとカスタムレポートを作成できます。

<figure><img src="/files/B6SNWUYYiV9tujY1meyv" alt=""><figcaption></figcaption></figure>

**\[適用]** をクリックすると、結果をプレビューできます。このレポートを使用する場合は **\[保存]** をクリックします。イベントは、JSON、CSV、SysLogの各形式のファイルとしてエクスポートできます。

{% hint style="info" %}
Keeperボルトで生成された新しいイベントがレポートモジュールに反映されるまで最大15分かかる場合があります。
{% endhint %}

### IPアドレスに基づく位置情報

IPアドレスに基づく位置情報の精度は、ユーザーの位置の特定に使用されるデータベースによって異なります。また、複数の要因によっても左右されます。レジストリが、受信したデータをどの程度正確に検証できるかということが最も重要となります。 IPアドレスに紐付けられている情報が不正確な場合、有用性が低下します。 IPアドレスが頻繁に変更されたり、モバイルキャリアがユーザーのインターネットアクセスに集中型のゲートウェイを使用している携帯電話の場合、位置情報の特定は著しく困難になります。 また、ユーザーがプロキシやVPNを使用している場合、位置データはかならずしも正しくありません。

Keeperでは、業界で最も信頼されるプロバイダの1つを利用しています。そのプロバイダでは、定期的に公開されている既知のIPアドレスと照合してデータ品質を検証することで、品質保証を行っています。

## タイムライングラフ

タイムライングラフの期間は、24時間、7日、30日間から選択できます。任意のイベントが記載された行をクリックすると、その期間内でそのイベントのすべての事例が表示されたレポートが開きます。

<figure><img src="/files/IRS017Lst1R2g0wEXr0v" alt=""><figcaption></figcaption></figure>

## アラート

アラートモジュールを使用すると、イベントに基づいたアラートを生成できます。アラートはメールまたはSMSで送信されます。

<figure><img src="/files/1HJnFjWSVt0OoTNB91qZ" alt=""><figcaption><p>アラート</p></figcaption></figure>

新しいアラートは、新しいレポートと同様に **\[アラートを追加]** をクリックし、名前とフィルター条件を指定して作成します。受信者は1人以上追加でき、メールアドレス、電話番号 (SMS用)、またはその両方を指定できます。受信者は組織の一員である必要はなく、任意のメールアドレスや電話番号を指定できます。最初の受信者は、イベントを**発生させた**ユーザーがあらかじめ設定されます。これはデフォルトで「オフ」になっており、アラート (メールのみ) を送信するには「オン」に切り替える必要があります。

<figure><img src="/files/rooko1XjyKamMCaDmSa1" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
イベントタイプや属性フィルタの指定範囲が広い場合、大量のアラートが生成される場合があります。アラートの頻度、イベントタイプと属性フィルタを調整することでアラートの量を軽減します。
{% endhint %}

大量のメールやSMSが受信者に届かないようにアラートを抑制するには、**アラート頻度**を指定します。たとえば、頻度を「期間中に1回」に設定し、期間を1時間に設定した場合、アラートフィルタに一致するすべてのイベントは引き続きアラートを発生させますが、アラートメッセージについては前回のアラートメッセージが送信されてから1時間経過した際に送信されます。また、トグルボタンを使用してアラートを一時停止することもできます。一時停止すると、アラートは発生し続けますが、実際のアラートメッセージは送信されません。一時停止を解除すると、次にアラートに一致するイベントが発生する際にアラートメッセージが送信されます。その際には一時停止中に発生したイベントを全て含んんだメッセージが送信されます。

以下は、メールでのアラートの例となります。

<figure><img src="/files/RDOX4fM177yyPV1hs8L4" alt=""><figcaption></figcaption></figure>

アラート履歴は、**「送信済みアラート」**&#x30BF;ブで閲覧できます。個々のアラートの詳細も確認できます。

<figure><img src="/files/LT5yoioLbrBrTpCUN2A3" alt=""><figcaption></figcaption></figure>

## 外部のSIEMログ

サードパーティのSIEMソリューションを利用している場合、Keeper管理コンソールを構成してライブのイベントデータを外部のSIEM製品へ自動的に送れます。現在サポートされているシステムは以下のとおりです。

* [AWS S3](/jp/enterprise-guide/event-reporting/aws-s3-bucket.md)
* [Azure Marketplace経由のMicrosoft Sentinel](/jp/enterprise-guide/event-reporting/microsoft-sentinel/microsoft-sentinel-with-azure-marketplace.md)
* [Azure Monitor](/jp/enterprise-guide/event-reporting/microsoft-sentinel/azure-monitor.md) (Microsoft Sentinel向け)
* [CrowdStrike Falcon Next-Gen SIEM](/jp/enterprise-guide/event-reporting/crowdstrike-falcon-next-gen-siem.md)
* [Datadog](/jp/enterprise-guide/event-reporting/datadog.md)
* [Devo](/jp/enterprise-guide/event-reporting/devo.md)
* [Elastic](/jp/enterprise-guide/event-reporting/elastic.md)
* [Exabeam (LogRhythm)](/jp/enterprise-guide/event-reporting/logrhythm.md)
* [Google Security Operations (Chronicle)](/jp/enterprise-guide/event-reporting/google-security-operations-chronicle.md)
* [Logz.io](/jp/enterprise-guide/event-reporting/logz.io.md)
* [IBM QRadar](/jp/enterprise-guide/event-reporting/qradar.md)
* [ServiceNow ITSM](/jp/enterprise-guide/event-reporting/servicenow-itsm.md)
* [Syslog Push](/jp/enterprise-guide/event-reporting/syslog.md)
* [Splunk](/jp/enterprise-guide/event-reporting/splunk.md)
* [Sumo Logic](/jp/enterprise-guide/event-reporting/sumo-logic.md)
* [Syslog](/jp/enterprise-guide/event-reporting/syslog.md)

イベントデータはKeeperのサーバーから接続先のSIEMコレクタへ送信されます。外部連携の方式は、同時に1つだけ有効にできます。

<figure><img src="/files/vaB66GjaOhNTXaWjWVsG" alt=""><figcaption><p>外部ログ</p></figcaption></figure>

**\[セットアップ]** をクリックして、外部ログを有効にします。 各ソリューションのセットアップは容易で、通常は統合に必要な属性は少数です。

## イベントタイプ

管理コンソール内のデフォルトの「最近のアクティビティ」レポートには、16種類のイベントタイプが含まれています。Keeperの高度なレポートとアラートモジュールでは、250種類を超えるイベントタイプがサポートされています。

Keeperエンタープライズによって検出されるイベントは、レポートとアラートの画面のドロップダウンメニューから閲覧できます。

![イベントタイプフィルタ](/files/jdRoAdz8yinOgAkiafon)

## BreachWatch関連イベントを有効にする

デフォルトでは、エンドユーザー端末のBreachWatch関連イベントは収集されず、高度なレポートとアラートモジュールには転送されません。 これらのイベントは、ロールポリシーを介して管理します。この機能を有効にするには、**\[管理者]** 画面か&#x3089;**\[ロール] > \[強制ポリシー] > \[ボルト機能]** に移動し、**\[BreachWatch関連イベントをレポート＆アラートおよび接続済み外部ログシステムへ送信]** をONに切り替えます。

![BreachWatchイベントの有効化](/files/LJqQVJ7S8YYgJoygv43p)

## イベント情報 <a href="#event-descriptions" id="event-descriptions"></a>

以下の表は、Keeperの高度なレポートとアラートモジュールで検出されるイベントの一覧となります。イベントコードは、ユーザーインターフェースおよびKeeperコマンダーCLIコマンドパラメータ内で使用されます。「メッセージ」フィールドは、アラートモジュールに使用されます。

各イベント内には、レコードUID、共有フォルダUID、チームUID、ユーザー名などの属性が存在する場合があります。これらの属性はイベントメッセージに表示され、サードパーティSIEMプロバイダにも指定された形式で送信されます。

{% embed url="<https://docs.google.com/spreadsheets/d/166n5T94NUK4tf5dw_qmrkaItS9KdkzKlwtz9Ei3_0Co/edit?usp=sharing>" %}

## 生イベントデータの例

以下は、JSON形式で送信された2つのイベントの例となります。「record\_update」イベントは特定のレコードに関係するため、レコードUIDが表示されています。

```
{
  "record_uid" :"Uk6qLnfWVxWL9OQlsGdOUw",
  "audit_event" : "record_update",
  "remote_address" :"155.65.556.130",
  "client_version" :"Browser Extensions.12.3.0",
  "timestamp" :"2019-02-14T22:41:12.027Z",
  "username" : "testing@keepersecurity.com",
  "enterprise_id" :12345
}

{
  "audit_event" : "login",
  "remote_address" :"168.123.45.130",
  "client_version" :"Web App.14.2.4",
  "timestamp" :"2019-02-14T22:40:08.655Z",
  "username" : "demo@keepersecurity.com",
  "client_version_new" : true,
  "enterprise_id" :12345
}

```

以下は、Syslog形式のイベントの例となります。Keeperコマンダーを介してのエクスポートしたり、サードパーティ製のSIEMソリューションにエクスポートしたりできます。

{% code overflow="wrap" %}

```
<110>1 2019-02-14T21:34:47Z 46.45.253.15 Keeper - 1132431639 [Keeper@Commander geo_location="Chicago, IL, US" keeper_version_category="MOBILE" audit_event_type="login_failure" keeper_version="iPhone 14.2.0" result_code="auth_failed" username="testing@keepersecurity.com" node_id="47377784242178"] User testing@keepersecurity.com login failed with code auth_failed

```

{% endcode %}

「enterprise\_id」は、同じSIEMコレクタ内にあるさまざまなKeeperエンタープライズのテナントを区別するのに役立ちます。

## レコードUIDなどの識別子を検索

イベントデータでは、レコードUID、共有フォルダUID、チームUIDなどのさまざまなタイプのUID値が参照されています。レコードUIDと共有フォルダUIDについては、KeeperコマンダーCLIまたはウェブボルトから確認できます。

<figure><img src="/files/OWbBQ6HHLxzK1jOVWIUG" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/9ONxrMPkDpthFSsrrzAM" alt=""><figcaption></figcaption></figure>

## コマンダーCLI

KeeperコマンダーCLIを使用すると、コマンドラインとSDKをKeeperのレポートシステムに統合し、高度な用途に対応できます。そのため、イベントデータを実用的なレポートの生成に使用できます。

詳細については、以下の[レポート関連コマンド](/jp/keeperpam/commander-cli/command-reference/reporting-commands.md)をご参照ください。

* [audit-log](/jp/keeperpam/commander-cli/command-reference/reporting-commands.md#audit-log-command)
* [audit-report](/jp/keeperpam/commander-cli/command-reference/reporting-commands.md#audit-report-command)
* [user-report](/jp/keeperpam/commander-cli/command-reference/reporting-commands.md#user-report-command)
* [security-audit-report](/jp/keeperpam/commander-cli/command-reference/reporting-commands.md#security-audit-report-command)
* [share-report](/jp/keeperpam/commander-cli/command-reference/reporting-commands.md#share-report-command)
* [shared-records-report](/jp/keeperpam/commander-cli/command-reference/reporting-commands.md#shared-records-report-command)
* [msp-license-report](/jp/keeperpam/commander-cli/command-reference/reporting-commands.md#msp-license-report-command)
* [aging-report](/jp/keeperpam/commander-cli/command-reference/reporting-commands.md#aging-report-command)
* [action-report](/jp/keeperpam/commander-cli/command-reference/reporting-commands.md#action-report-command)
* [compliance-report](/jp/keeperpam/commander-cli/command-reference/reporting-commands.md#compliance-report-command)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/jp/enterprise-guide/event-reporting.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.