概説
コンプライアンスレポートを使用すると、全社のレコードとクレデンシャルのアクセス権限を必要に応じて可視化できるため、アカウント管理者は規制を遵守できます。
Commanderを使用すると、コンプライアンスレポートをスケジュール設定して自動化し、結果をCSVファイルまたはJSONにエクスポートできます。
コンプライアンスレポートの詳細については、
compliance-reportコマンド
compliance-reportコマンドを使用すると、Keeper管理コンソールで行うのと同じようにレポートを実行できます。ノード、ユーザー、タイトル別のレコード権限の表示、所有するレコードまたは共有レコードによるフィルタ、結果のファイルへの出力ができます。
キャッシュ
compliance-reportコマンドは、複数のレポートクエリのパフォーマンスを向上させるためにキャッシュを利用しています。
このため、 compliance-report の最初の呼び出しでは、システムが必要なデータを取得するまでに数分かかる場合があります。
この間、Commanderは実行中の手順を説明するメッセージを表示します。
また、-rフラグを使用することでキャッシュの手動再構築を実行できます。コンプライアンスデータの最新の変更を確認するには、以下の操作を行います。
compliance-report -r
デフォルトでは (生成されたレポートが適度に最新かつ正確なデータを反映するように)、 1 日以上長くローカルにキャッシュされた古いデータは、上記のプロセスを通じて自動的に更新されます。その結果、Compliance-reportへの前回の呼び出しから 1 日以上経過してからCompliance-reportへの呼び出しが行われると、別のデータフェッチ操作が発生し、(初回呼び出しの場合のように) 完了するまでに時間がかかる可能性があります。このデフォルトの挙動を手動で上書きする方法については、次のセクションをご参照ください。
逆に、前述の自動キャッシュ更新挙動を回避し、以前にキャッシュされたデータのみに基づいてレポートを生成したい場合 (結果は古い可能性がありますが、キャッシュの更新に必要な長い読み込み時間を回避できます)、-nrまたは--no-rebuildフラグを使用します。最後のコマンド呼び出し/キャッシュ更新以降、関連データが大幅には変更されていないと確信できる場合に、コンプライアンスデータに対するクエリを迅速に実行できます。
compliance-report -nr
キャッシュを削除
コンプライアンスレポートのキャッシュは、--no-cacheフラグを使用して手動で削除できます。 これを実行すると、キャッシュされたすべてのコンプライアンスレポート情報がマシンから完全に削除されます。
compliance-report --no-cache
Commanderを実行した場所から、ディスク上のキャッシュファイルを削除することもできます。暗号化されたコンプライアンスデータが含まれているsox_<ID>.dbというファイルを削除します。
フィルタ
コンプライアンスレポートは、ノード、ユーザー、役職、レコードが共有されているか否かによってフィルタリングできます。
形式
--node [NODE NAME or ID]または-n [NODE NAME or ID]
例
compliance-report --node "Chicago Office"
概説
レコードの結果を、指定したノードのKeeperボルトに存在するレコードのみにフィルタリングします。デフォルトでは、ルートエンタープライズノードを使用して、すべてのボルトを検索します。
形式
--username [USER EMAIL]または-u [USER EMAIL]
例
compliance-report --username "Craig@keepersecurity.com"
概説
レコードの結果を、指定したユーザー名のKeeperボルトに存在するレコードのみにフィルタリングします
形式
--record [UID or TITLE]または-r [UID or TITLE]
例
compliance-report --record "Twitter Login"
概説
指定したUIDまたはタイトルを持つレコードに結果をフィルタリングします
形式
--url [URL]
例
compliance-report --url "https://www.twitter.com"
概説
指定したURL値を持つレコードに結果をフィルタリングします
形式
--job-title [TITLE]または-jt [TITLE]
例
compliance-report --job-title "Engineers"
概説
レコードの結果を、指定した役職を持つユーザーが所有するKeeperボルトに存在するレコードのみにフィルタリングします
形式
--shared
例
compliance-report --shared
概説
共有されているレコードのみを表示します
Commanderバージョン16.7.5以降が必要です
形式
--team <TEAM NAME>
例
compliance-report --team "Engineering"
概説
指定したチームのユーザーのみを表示します
Commanderバージョン16.7.5以降が必要です
形式
--record <RECORD NAME or UID>
例
compliance-report --record "Twitter Login"
概説
指定したレコードのレポートを表示します
フィルタフラグを一緒に使用すると、高度なレポートを作成できます
例
compliance-report --node "Chicago" --job-title "Managers" --shared
この例では、シカゴノードのマネージャが所有するボルトから共有されたレコードのレポートを表示します。
同じフィルタを何度も使用することもできます。
compliance-report -u "Craig@keepersecurity.com" -u "Darren@keepersecurity.com"
この例では、ユーザー「Craig@keepersecurity.com」と「Darren@keepersecurity.com」の両方のレコードを取得します。
概説
レコードの結果を、指定したノードのKeeperボルトに存在するレコードのみにフィルタリングします
ファイルに出力
多くのCommanderレポートと同様に、コンプライアンスレポートの結果はファイルに保存できます。 保存するには、--outputオプションと--formatオプションを使用します。
出力
--output [ファイルパス]
指定した場所のファイルに結果を書き込むようにCommanderに指示します。 ファイルが存在しない場合は作成されます。
形式
--format [csv, json, table]
Commanderにレポート結果の形式を指示します。既定の結果は表 (table) 形式で、表で結果が表示されます。他にカンマ区切り値 (CSV)、JSON (JavaScript Object Notation) がご利用になれます。
--outputフラグを付けずに --formatフラグを付加すると、結果は指定した形式でCommanderに表示されます。
コンプライアンスレポートの結果をExcelで表示可能なCSVファイルとして保存するには、以下のフラグを使用します。
--format csv and --output /path/to/file.csv
例
compliance-report --username "Craig@keepersecurity.com" --format csv --output "./craig_compliance.csv"
結果は、指定した場所にcsv形式のファイルとして保存されます。
コンプライアンスレポートの結果をコードやスクリプトで使用するJSONファイルとして保存するには、以下のフラグを使用します。
--format json and --output /path/to/file.json
例
compliance-report --username "Craig@keepersecurity.com" --format csv --output "./craig_compliance.json"
結果は、指定した場所にjson形式のファイルとして保存されます。
complianceコマンド
Commanderでは、カスタムレポートの生成に加えて、complianceコマンドを使用すると特定のレポートも生成できます。特定のレポートは、complianceコマンドがサポートするサブコマンドを呼び出すことによって生成できます。
complianceコマンドでは、以下のサブコマンドがサポートされています。
詳細はサブコマンドのセクションをご参照ください。
コンプライアンスチームレポート
共有フォルダは個人にもチームにも共有できますが、コンプライアンスレポートには各チームがこれらの共有フォルダに対して持つアクセス権に関するレポートを表示できます。
コンプライアンスチームレポートを実行するには、Commanderで以下のコマンドを使用します。
compliance team-report
このレポートでは、前述のコンプライアンスレポートのキャッシュ が使用されます。
このレポートには、共有フォルダにアクセスできる各チームと、アクセス権の種類が表示されます。
コピー My Vault> compliance team-report
Team Name Team UID Shared Folder Name Shared Folder UID Permissions Records
----------- ---------------------- ------------------ ---------------------- ------------------- ---------
Engineering qLoY4YptKEs30VK_D8px1A Devops Secrets YZaagndh8CQToqlhuvv95Q Read Only 1
Marketing XWLBkyN_HnwJKA4BYWrByw Website Logins -IcFcSgrFPEW9aP1-noiWw Can Share, Can Edit 2
チームメンバーシップ情報 (どのユーザーがどのチームに属しているか) をレポートに含めたい場合は、以下のように、コマンド呼び出しにオプションのフラグ--show-team-users/-tuを含めます。
compliance team-report -tu
上記のコマンド呼び出しでフラグを追加した結果、生成されたレポートに「Team User」 (チームユーザー) という列 (関連チームの全メンバーのユーザー名が表示されます) が追加されます。
コンプライアンスレコードアクセスレポート
コンプライアンスレコードアクセスレポートには、任意のユーザーがアクセスした社内のすべてのレコードのリストと、その他の関連情報 (使用したアプリ、IPアドレス、イベントのタイムスタンプなど) が表示されます。
コンプライアンスレコードアクセスレポートを実行するには、Commanderで次のコマンドを実行します。
compliance record-access-report user1@company.com
ここでは、user1@company.comはレコードアクセスを監査したいユーザーとなります。結果の出力は以下のようになります。
コピー My Vault> compliance record-access-report user1@company.com
Vault Owner Record UID Record Title Record URL Has Attachments In Trash Record Owner IP Address Device Last Access
----------------- ---------------------- ------------ ------------- ----------------- ---------- ----------------- ------------- ----------------- -------------------
user1@company.com LDUw6M6jNcUmEkuArp4LXQ User1-Login domain.com False False user1@company.com 172.158.8.18 Web App 16.10.2 2023-05-30 17:04:23
5U4DK0MmJ5ZVui-o6JcDQw User2-Login google.com True False user2@company.com 172.158.8.18 Web App 16.10.2 2023-01-24 17:04:18
MMhu6YQ5gKtYbgPiVD41UQ User3-Login hotmail.com False False user3@company.com 172.158.8.18 Web App 16.10.2 2022-11-31 14:35:23
同様に、同じユーザーが現在アクセスできるすべてのレコード (つまり、現在ユーザーのボールトにあるすべてのレコード) のリストを表示するには、次のコマンドを実行します。
compliance record-access-report --report-type=vault user1@company.com
上記のコマンドの出力は前の例と似ていますが、現在ユーザーのボルトにないレコードは除外され、そのユーザーが一度もアクセスしたことのないレコードが含まれる可能性があります。
さらに、このレポートを複数のユーザーに対して実行したい場合は、以下のようにコマンド呼び出しでスペース区切りのリストで各ユーザー名/IDを指定するか、省略表現「@all」を使用して全ユーザーに対して実行します。
compliance record-access-report user1@company.com user2@company.com
compliance record-access-report @all
コンプライアンスサマリーレポート
コンプライアンスサマリーレポートには、社内のレコードに関する情報が集約されて表示されます (現在はデフォルトでレコードの所有者で分類されていますが、今後他のエンティティによる分類が追加される可能性があります)。
コンプライアンスサマリーレポートを実行するには、Commanderで以下のコマンドを実行します。
compliance summary-report
または
compliance stats
結果の出力は以下のようになります。
コピー My Vault> compliance summary-report
Email Records
--------------------------------- ---------
bob.loblaw@keeperdemo.io 67
colonel.ackbar@keeperdemo.io 68
tyrion.lannister@keeperdemo.io 2
doogie.howzer@keeperdemo.io 1
alan.turing@keeperdemo... 29
richard.feynmann@keeperdemo.io 10
niehls.bohr@keeperdemo.io 2
robert.oppenheimer@keeperdemo.io 52
TOTAL 231
コンプライアンス共有フォルダレポート
このコマンドは、compliance team-reportと同様にすべてのエンティティ (チームおよび個々のユーザー) が社内のすべての共有フォルダに対して持つアクセス権を詳細に示すレポートを出力します。
コンプライアンス共有フォルダレポートを実行するには、Commanderで以下のコマンドを実行します。
compliance shared-folder-report
または
compliance sfr
出力は以下のとおりです。
コピー My Vault> compliance sfr
Loading record information....
Loading compliance data....:
Shared Folder UID Team UID Team Name Record UID Email
---------------------- ---------------------- ------------ ---------------------- ------------------------------
y01GmuTipqHGLdd0NkM4qw PG7MELDIOaNMQkDiw--JoQ bob.loblaw@keeperdemo.io
1JDuc5ZcJDpt8SbhYnD0HA nate.hawthorne@keeperdemo.io
YZaagndh8CQToqlhuvv95Q qLoY4YptKEs30VK_D8px1A Engineering IOYb8jAmDsaIGtTwZB5Biw samuel.clemens@keeperdemo.io
w.b.yeats@keeperdemo.io
-IcFcSgrFPEW9aP1-noiWw XWLBkyN_HnwJKA4BYWrByw Marketing O69TWFDnPCG_dpg9wpABqg e.hemmingway@keeperdemo.io
qLoY4YptKEs30VK_D8px1A Engineering f46BWlqg5SoWraVlEFFSDA
0qpDTAWuznWrInnednG3Xw XWLBkyN_HnwJKA4BYWrByw Marketing EnqP808xakJA9hOpjhYb9A e.hemmingway@keeperdemo.io
前述のcompliance team-reportコマンドと同様に、必要に応じて-show-team-users/-tuフラグを指定してレポートにチームメンバーシップデータを含められます。以下はその例です。
compliance sfr -tu
compliance team-report -tuの出力とは対照的に、上記のコマンドによって生成されたレポートには、既存の「Email」という列に適切なチームメンバーシップデータが追加され、チームに関連付けられた各ユーザー名の前には、それを示すために「(TU)」が付くことにご注意ください。
Commanderで使用可能なその他のレポートについては、レポート作成のドキュメント をご参照ください。
