SA構成:グローバル監査ログの構成

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

概要

グローバル監査ログは、Security Analytics監査者への一元的かつリアルタイムな監査ログの提供により、Security Analytics内でのユーザー アクティビティに対する統合的な可視化を実現します。表示される情報には、Security AnalyticsシステムとSecurity Analyticsインフラストラクチャのさまざまなサービスから収集された監査ログが含まれます。 

Security Analyticsは監査ログを一元化したシステムに収集し、必要な形式に変換してから、外部のSyslogシステムに転送します。外部のSyslogシステムは、サードパーティのSyslogサーバまたはLog Decoderです。  

グローバル監査ログは、[グローバル監査ログの構成]パネルで構成します。監査ログ テンプレートでは、監査ログ エントリーの形式およびメッセージ フィールドが定義されています。Syslog通知サーバの構成では監査ログの送信先を定義します。監査ログをLog Decoderに転送する場合は、[Syslog]タイプの通知サーバとしてLog Decoderを構成します。

Security Analyticsでログに記録されるユーザー アクションの一部を次に示します。

  • ユーザー ログイン成功 
  • ユーザー ログイン失敗 
  • ユーザー ログアウト
  • 最大ログイン失敗回数超過
  • UIページへの全アクセス
  • コミット済みの構成変更(ユーザーが自分のパスワードを変更した場合を含む)
  • ユーザーが実行したクエリー
  • 拒否されたユーザー アクセス
  • データ エクスポート操作

グローバル監査ログ構成を作成すると、これらのユーザー アクションが含まれる監査ログが、選択した監査ログ テンプレートで指定されている形式で、自動的に外部のSyslogシステムに転送されます。さまざまなテンプレートを使用するさまざまな送信先用にグローバル監査ログの構成を複数作成することができます。たとえば、使用可能なすべてのメタ データを含むテンプレートを使用して外部Syslogサーバ用のグローバル監査ログ構成を作成し、限定したメタ データを含むテンプレートを使用してLog Decoder用の別の構成を作成できます。 

Log Decoders用には、10.5 Default Audit CEF Templateを使用します。特定の要件がある場合は、CEF(Common Event Format)テンプレートのフィールドを追加および削除することもできます。グローバル監査ログ テンプレートの定義 で手順を参照してください。また、サポートされるCEFメタ キー で監査ログ テンプレートで使用可能なCEFメタ キーについて参照してください。

サードパーティのSyslogサーバ用には、デフォルトの監査ログ テンプレートを使用するか、任意の形式(CEFまたはCEF以外)でテンプレートを定義します。 グローバル監査ログ テンプレートの定義 でその手順を参照してください。また、グローバル監査ログでサポートされるメタ キー変数 で使用可能な変数について参照してください。

監査者は、送信先に指定したLog DecoderまたはサードパーティのSyslogサーバ上で監査ログを表示できます。Log Decoderを使用している場合、監査者はSecurity AnalyticsのInvestigationまたはレポートを使用して監査ログを表示できます。 

次の図は、Investigations([Investigations]>[イベント])で表示されているグローバル監査ログを示しています。

ログ記録されるユーザー アクションの例については、次のトピックを参照してください:[新しい構成の追加]ダイアログSecurity Analyticsの各種コンポーネントによってログに記録される一連のメッセージ タイプについては、次のトピックを参照してください:グローバル監査ログに記録される操作の一覧

グローバル監査ログの構成 - 手順の概要

グローバル監査ログは、[グローバル監査ログの構成]パネルで構成します。このパネルには、[Administration]の[システム]ビュー>[グローバル監査]からアクセスします。グローバル監査ログを構成する前に、Syslog通知サーバおよび監査ログ テンプレートを構成する必要があります。Syslog通知サーバでは監査ログの送信先を定義します。監査ログ テンプレートでは、監査ログ エントリーの形式およびメッセージ フィールドを定義します。 

[グローバル監査ログの構成]パネルには[設定を表示]リンクが用意されています。このリンクをクリックすると、[グローバル通知]パネルが表示されます([Administration]の[システム]ビュー>[グローバル通知])。このパネルで、Syslog通知サーバと監査ログ テンプレートを構成できます。 

次の手順を記載された順序で実行し、グローバル監査ログを構成します。

                             
手順参照先/説明
  1. Syslog通知サーバを構成する。
グローバル監査ログで使用するSyslog通知サーバを構成します。サード パーティのSyslogサーバまたはLog Decoderを送信先として定義して、監査ログを受け取ることができます。
グローバル監査ログの送信先の構成グローバル監査ログの構成では、Syslog通知サーバ タイプを使用します。グローバル監査ログをLog Decoderに転送する場合、Syslogタイプの通知サーバを作成します。 
  1. 使用する監査ログ テンプレートを選択または構成する。
Syslog通知サーバの監査ログ テンプレートを選択します。デフォルトの監査ログ テンプレートを使用することも、独自の監査ログ テンプレートを定義することもできます。グローバル監査ログの構成では、監査ログ テンプレート タイプおよびSyslog通知サーバを使用します。
通知テンプレートの構成 で補足情報を参照してください。
Log Decoderの場合は、10.5 Default Audit CEFTemplateを使用します。特定の要件がある場合は、CEF(CommonEventFormat)テンプレートのフィールドを追加および削除することもできます。「グローバル監査ログ テンプレートの定義」には手順が記載されています。 
サードパーティのSyslogサーバ用には、デフォルトの監査ログ テンプレートを使用するか、独自の形式(CEFまたはCEF以外)でテンプレートを定義します。 グローバル監査ログ テンプレートの定義 で手順を参照してください。また、「グローバル監査ログでサポートされるメタ キー変数」で、使用可能な変数について参照してください。
  1. (オプション:Log Decoderを使用する場合のみ)LiveからCommon Event Format Parserを取得し、Log Decoderに導入する。
Liveから最新のCommon Event Format Parserを導入し、有効化します。「Liveリソースの検索と導入」と「ログParserの有効化と無効化」で手順を説明しています。 
  1. グローバル監査ログの構成を定義して、外部Syslogシステムへのグローバル監査ログの転送方法を定義する。 
グローバル監査ログの構成の定義 で手順を参照してください。グローバル監査ログの構成を追加すると、構成で選択した通知サーバに監査ログが転送されます。
  1. グローバル監査ログに監査イベントが表示されることを確認する。
監査ログをテストして、監査ログ テンプレートで定義されているように、監査イベントが表示されることを確認します。グローバル監査ログの検証 で手順を参照してください。
You are here
Table of Contents > 標準的な手順 > グローバル監査ログの構成

Attachments

    Outcomes