編集

コンプライアンスコマンド

Keeperコマンダーコンプライアンスレポート作成コマンド

概要

コンプライアンスレポート作成のアドオンが必要です

コンプライアンスレポートを使用すると、組織全体のレコードとクレデンシャルのアクセス権限を必要に応じて可視化できるため、アカウント管理者が規制を遵守するのに役立ちます。

Commanderを使用すると、コンプライアンスレポートをスケジュール設定して自動化し、結果をCSVファイルまたはJSONにエクスポートできます。

コンプライアンスレポートの詳細については、コンプライアンスレポートのドキュメントをご参照ください。

compliance-reportコマンド

compliance-reportコマンドを使用すると、Keeper管理コンソールで行うのと同じようにレポートを実行できます。ノード、ユーザー、タイトル別のレコード権限の表示、所有するレコードまたは共有レコードによるフィルタ、結果のファイルへの出力ができます。

キャッシュ

compliance-reportコマンドは、複数のレポートクエリのパフォーマンスを向上させるためにキャッシュを利用しています。

このため、compliance-reportの最初の呼び出しでは、システムが必要なデータを取得するまでに数分かかる場合があります。

この間、Commanderは実行中の手順を説明するメッセージを表示します。

また、-rフラグを使用することでキャッシュの手動再構築を実行できます。コンプライアンスデータの最新の変更を確認するには、以下の操作を行います。

compliance-report -r

デフォルトでは (生成されたレポートが適度に最新かつ正確なデータを反映するように)、 1 日以上長くローカルにキャッシュされた古いデータは、上記のプロセスを通じて自動的に更新されます。その結果、Compliance-reportへの前回の呼び出しから 1 日以上経過してからCompliance-reportへの呼び出しが行われると、別のデータフェッチ操作が発生し、(初回呼び出しの場合のように) 完了するまでに時間がかかる可能性があります。このデフォルトの挙動を手動で上書きする方法については、次のセクションをご参照ください。

逆に、前述の自動キャッシュ更新挙動を回避し、以前にキャッシュされたデータのみに基づいてレポートを生成したい場合 (結果は古い可能性がありますが、キャッシュの更新に必要な長い読み込み時間を回避できます)、-nrまたは--no-rebuildフラグを使用します。最後のコマンド呼び出し/キャッシュ更新以降、関連データが大幅には変更されていないと確信できる場合に、コンプライアンスデータに対するクエリを迅速に実行できます。

compliance-report -nr

キャッシュを削除

コンプライアンスレポートのキャッシュは、--no-cacheフラグを使用して手動で削除できます。 これを実行すると、キャッシュされたすべてのコンプライアンスレポート情報がマシンから完全に削除されます。

compliance-report --no-cache

コマンダーを実行した場所から、ディスク上のキャッシュファイルを削除することもできます。暗号化されたコンプライアンスデータが含まれているsox_<ID>.dbというファイルを削除します。

フィルタ

コンプライアンスレポートは、ノード、ユーザー、役職、レコードが共有されているか否かによってフィルタリングできます。

ノードでフィルタ

形式

--node [NODE NAME or ID]または-n [NODE NAME or ID]

compliance-report --node "Chicago Office"

概説

レコードの結果を、指定したノードのKeeperボルトに存在するレコードのみにフィルタリングします。デフォルトでは、ルートエンタープライズノードを使用して、すべてのボルトを検索します。

ユーザー名でフィルタ

形式

--username [USER EMAIL]または-u [USER EMAIL]

compliance-report --username "[email protected]"

概説

レコードの結果を、指定したユーザー名のKeeperボルトに存在するレコードのみにフィルタリングします

レコードでフィルタ

形式

--record [UID or TITLE]または-r [UID or TITLE]

compliance-report --record "Twitter Login"

概説

指定したUIDまたはタイトルを持つレコードに結果をフィルタリングします

URLでフィルタ

形式

--url [URL]

compliance-report --url "https://www.twitter.com"

概説

指定したURL値を持つレコードに結果をフィルタリングします

役職でフィルタ

形式

--job-title [TITLE]または-jt [TITLE]

compliance-report --job-title "Engineers"

概説

レコードの結果を、指定した役職を持つユーザーが所有するKeeperボルトに存在するレコードのみにフィルタリングします

共有レコードでフィルタ

形式

--shared

compliance-report --shared

概説

共有されているレコードのみを表示します

削除済みレコードでフィルタ

形式

--deleted-items

compliance-report --deleted-items

概説

削除済みレコードのみを表示します (--active-itemsフラグと併用はできません)

アクティブなレコードでフィルタ

形式

--active-items

compliance-report --active-items

概説

アクティブなレコードのみを表示します (--deleted-itemsフラグと併用はできません)

チームでフィルタ

Commanderバージョン16.7.5以降が必要です

形式

--team <TEAM NAME>

compliance-report --team "Engineering"

概説

指定したチームのユーザーのみをを表示します

複数のフィルタをまとめて使用

フィルタフラグを一緒に使用すると、高度なレポートを作成できます

compliance-report --node "Chicago" --job-title "Managers" --shared

この例では、ChicagoノードのManagersが所有するボルトから共有されたレコードのレポートを表示します。

同じフィルタを何度も使用することもできます。

compliance-report -u "[email protected]" -u "[email protected]"

この例では、ユーザー「[email protected]」と「[email protected]」の両方のレコードを取得します。

概説

レコードの結果を、指定したノードのKeeperボルトに存在するレコードのみにフィルタリングします

ファイルに出力

コマンダーレポート機能の多くと同様に、コンプライアンスレポートの結果はファイルに保存できます。 保存するには、--outputオプションと--formatオプションを使用します。

出力

--output [ファイルパス]

指定した場所のファイルに結果を書き込むようにコマンダーに指示します。 ファイルが存在しない場合は作成されます。

形式

--format [csv, json, table]

コマンダーにレポート結果の形式を指示します。既定の結果は表 (table) 形式で、表で結果が表示されます。他にカンマ区切り値 (CSV)、JSON (JavaScript Object Notation) がご利用になれます。

--outputフラグを付けずに --formatフラグを付加すると、結果は指定した形式でCommanderに表示されます。

結果をCSV (Excel) に保存

コンプライアンスレポートの結果をExcelで表示可能なCSVファイルとして保存するには、以下のフラグを使用します。

--format csv and --output /path/to/file.csv

compliance-report --username "[email protected]" --format csv --output "./craig_compliance.csv"

結果は、指定した場所にcsv形式のファイルとして保存されます。

結果をJSONに保存

コンプライアンスレポートの結果をコードやスクリプトで使用するJSONファイルとして保存するには、以下のフラグを使用します。

--format json および --output /path/to/file.json

compliance-report --username "[email protected]" --format csv --output "./craig_compliance.json"

結果は、指定した場所にjson形式のファイルとして保存されます。

complianceコマンド

コマンダーでは、カスタムレポートの生成に加えて、complianceコマンドを使用すると特定のレポートも生成できます。特定のレポートは、complianceコマンドがサポートするサブコマンドを呼び出すことによって生成できます。

complianceコマンドでは、以下のサブコマンドがサポートされています。

詳細についてはサブコマンドのセクションをご参照ください。

Compliance Team-Report

共有フォルダは個人にもチームにも共有できますが、コンプライアンスレポートには各チームがこれらの共有フォルダに対して持つアクセス権に関するレポートを表示できます。

コンプライアンスチームレポートを実行するには、コマンダーで以下のコマンドを使用します。

compliance team-report

このレポートでは、前述のコンプライアンスレポートのキャッシュが使用されます。

このレポートには、共有フォルダにアクセスできる各チームと、アクセス権の種類が表示されます。

My Vault> compliance team-report
Team Name    Team UID                Shared Folder Name  Shared Folder UID       Permissions            Records
-----------  ----------------------  ------------------  ----------------------  -------------------  ---------
Engineering  qLoY4YptKEs30VK_D8px1A  Devops Secrets      YZaagndh8CQToqlhuvv95Q  Read Only                    1
Marketing    XWLBkyN_HnwJKA4BYWrByw  Website Logins      -IcFcSgrFPEW9aP1-noiWw  Can Share, Can Edit          2

チームメンバーシップ情報 (どのユーザーがどのチームに属しているか) をレポートに含めたい場合は、以下のように、コマンド呼び出しにオプションのフラグ--show-team-users/-tuを含めます。

compliance team-report -tu

上記のコマンド呼び出しでフラグを追加した結果、生成されたレポートに「Team User」 (チームユーザー) という列 (関連チームの全メンバーのユーザー名が表示されます) が追加されます。

Compliance Record-Access Report

レコードアクセスのコンプライアンスレポートには、任意のユーザーがアクセスした組織内のすべてのレコードのリストと、その他の関連情報 (使用したアプリ、IPアドレス、イベントのタイムスタンプなど) が表示されます。

レコードアクセスのコンプライアンスレポートを実行するには、コマンダーで以下のコマンドを実行します。

compliance record-access-report [email protected]

ここでは、[email protected]はレコードアクセスを監査したいユーザーとなります。結果の出力は以下のようになります。

My Vault> compliance record-access-report [email protected]
Vault Owner       Record UID              Record Title  Record URL     Has Attachments    In Trash    Record Owner       IP Address     Device             Last Access
----------------- ----------------------  ------------  -------------  -----------------  ----------  -----------------  -------------  -----------------  -------------------
[email protected] LDUw6M6jNcUmEkuArp4LXQ  User1-Login   domain.com     False              False       [email protected]  172.158.8.18   Web App 16.10.2    2023-05-30 17:04:23
                  5U4DK0MmJ5ZVui-o6JcDQw  User2-Login   google.com     True               False       [email protected]  172.158.8.18   Web App 16.10.2    2023-01-24 17:04:18
                  MMhu6YQ5gKtYbgPiVD41UQ  User3-Login   hotmail.com    False              False       [email protected]  172.158.8.18   Web App 16.10.2    2022-11-31 14:35:23

同様に、同じユーザーが現在アクセスできるすべてのレコード (つまり、現在ユーザーのボールトにあるすべてのレコード) のリストを表示するには、次のコマンドを実行します。

compliance record-access-report --report-type=vault [email protected]

上記のコマンドの出力は前の例と似ていますが、現在ユーザーのボルトにないレコードは除外され、そのユーザーが一度もアクセスしたことのないレコードが含まれる可能性があります。

さらに、このレポートを複数のユーザーに対して実行したい場合は、以下のようにコマンド呼び出しでスペース区切りのリストで各ユーザー名/IDを指定するか、省略表現「@all」を使用して全ユーザーに対して実行します。

compliance record-access-report [email protected] [email protected]

compliance record-access-report @all

Compliance Summary-Report

コンプライアンス概要レポートには、組織内のレコードに関する情報が集約されて表示されます (現在はデフォルトでレコードの所有者で分類されていますが、今後他のエンティティによる分類が追加される可能性があります)。

コンプライアンス概要レポートを実行するには、コマンダーで以下のコマンドを実行します。

compliance summary-report

または

compliance stats

結果の出力は以下のようになります。

My Vault> compliance summary-report

Email                             Total Items    Total Owned    Active Owned    Deleted Owned
------------------------------- -------------  -------------  --------------  ---------------
[email protected]                   22             14              12                2
[email protected]                   49             42              33                9
[email protected]              3              3               3                0
[email protected]                15              5               5                0
[email protected]                  17             13               4                9
[email protected]              4              1               1                0
TOTAL                                                     78              58               20

Compliance Shared-Folder-Report

このコマンドで、compliance team-reportと同様にすべてのエンティティ (チームおよび個々のユーザー) が組織内のすべての共有フォルダに対して持つアクセス権を詳細に示すレポートを出力します。

コンプライアンス共有フォルダレポートを実行するには、コマンダーで以下のコマンドを実行します。

compliance shared-folder-report

または

compliance sfr

出力は以下のとおりです。

My Vault> compliance sfr
Loading record information....
Loading compliance data....:
Shared Folder UID       Team UID                Team Name    Record UID              Email
----------------------  ----------------------  ------------ ----------------------  ------------------------------
y01GmuTipqHGLdd0NkM4qw                                       PG7MELDIOaNMQkDiw--JoQ  [email protected]
                                                             1JDuc5ZcJDpt8SbhYnD0HA  [email protected]
YZaagndh8CQToqlhuvv95Q  qLoY4YptKEs30VK_D8px1A  Engineering  IOYb8jAmDsaIGtTwZB5Biw  [email protected]
                                                                                     [email protected]
-IcFcSgrFPEW9aP1-noiWw  XWLBkyN_HnwJKA4BYWrByw  Marketing    O69TWFDnPCG_dpg9wpABqg  [email protected]
                        qLoY4YptKEs30VK_D8px1A  Engineering  f46BWlqg5SoWraVlEFFSDA
0qpDTAWuznWrInnednG3Xw  XWLBkyN_HnwJKA4BYWrByw  Marketing    EnqP808xakJA9hOpjhYb9A  [email protected]

前述のcompliance team-reportコマンドと同様に、必要に応じて-show-team-users/-tuフラグを指定してレポートにチームメンバーシップデータを含められます。以下はその例です。

compliance sfr -tu

compliance team-report -tuの出力とは対照的に、上記のコマンドによって生成されたレポートには、既存の「Email」という列に適切なチームメンバーシップデータが追加され、チームに関連付けられた各ユーザー名の前には、それを示すために「(TU)」が付くことにご注意ください。

コマンダーで使用可能なその他のレポートについては、レポート作成のドキュメントをご参照ください。

前へユーザーの作成と招待次へBreachwatchコマンド

最終更新