NWの構成:グローバル監査ログの構成

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode
 

グローバル監査ログは、NetWitness Suite監査者への一元的かつリアルタイムな監査ログの提供により、NetWitness Suite内でのユーザ アクティビティに対する統合的な可視化を実現します。可視化の対象は、NetWitness SuiteシステムおよびNetWitness Suiteインフラストラクチャ全体のさまざまなサービスから収集した監査ログです。 

NetWitness Suiteの監査ログは、一元化されたシステムで収集され、そこで必要な形式に変換され、外部のSyslogシステムに転送されます。外部のSyslogシステムは、サードパーティのSyslogサーバまたはLog Decoderです。  

グローバル監査ログは、[グローバル監査ログの構成]パネルで構成します。監査ログ テンプレートでは、監査ログ エントリーの形式およびメッセージ フィールドが定義されています。Syslog通知サーバの構成では監査ログの送信先を定義します。監査ログをLog Decoderに転送する場合は、[Syslog]タイプの通知サーバとしてLog Decoderを構成します。

NetWitness Suiteでログ記録されるユーザ アクションの一部を次に示します。

  • ユーザ ログイン成功 
  • ユーザ ログイン失敗 
  • ユーザ ログアウト
  • 最大ログイン失敗回数超過
  • UIページへの全アクセス
  • コミット済みの構成変更(ユーザが自分のパスワードを変更した場合を含む)
  • ユーザが実行したクエリ
  • 拒否されたユーザ アクセス
  • データ エクスポート操作

グローバル監査ログ構成を作成すると、これらのユーザ アクションが含まれる監査ログが、選択した監査ログ テンプレートで指定されている形式で、自動的に外部のSyslogシステムに転送されます。さまざまなテンプレートを使用するさまざまな送信先用にグローバル監査ログの構成を複数作成することができます。たとえば、使用可能なすべてのメタ データを含むテンプレートを使用して外部Syslogサーバ用のグローバル監査ログ構成を作成し、限定したメタ データを含むテンプレートを使用してLog Decoder用の別の構成を作成できます。 

Log Decoders用には、Default Audit CEF Templateを使用します。特定の要件がある場合は、CEF(Common Event Format)テンプレートのフィールドを追加および削除することもできます。「グローバル監査ログ テンプレートの定義」ではその手順を説明し、「サポートされるCEFメタ キー」では監査ログ テンプレートで使用可能なCEFメタ キーについて説明しています。

サード パーティのSyslogサーバの場合は、デフォルトの監査ログ テンプレートを使用するか、独自の形式(CEFまたはCEF以外)を定義することができます。「グローバル監査ログ テンプレートの定義」ではその手順について説明し、「グローバル監査ログでサポートされるメタ キー変数」では使用可能な変数について説明しています。

監査者は、送信先に指定したLog DecoderまたはサードパーティのSyslogサーバ上で監査ログを表示できます。Log Decoderを使用している場合、監査者はNetWitness SuiteのInvestigationまたはレポートを使用して監査ログを表示できます。 

次の図は、Investigation([Investigations]>[イベント])で表示されているグローバル監査ログを示しています。

ログ記録されるユーザ アクションの例については、「[新しい構成の追加]ダイアログ」を参照してください。NetWitness Suiteの各種コンポーネントによって記録される一連のメッセージ タイプについては、「グローバル監査ログに記録される操作の一覧」を参照してください。 

グローバル監査ログ - 手順の概要

グローバル監査ログは、[グローバル監査ログの構成]パネルで構成します。このパネルには、[管理]の[システム]ビュー>[グローバル監査]からアクセスします。グローバル監査ログを構成する前に、Syslog通知サーバおよび監査ログ テンプレートを構成する必要があります。Syslog通知サーバでは監査ログの送信先を定義します。監査ログ テンプレートでは、監査ログ エントリーの形式およびメッセージ フィールドを定義します。 

[グローバル監査ログの構成]パネルには[設定を表示]リンクが用意されています。このリンクをクリックすると、[グローバル通知]パネルが表示されます([管理]の[システム]ビュー>[グローバル通知])。このパネルで、Syslog通知サーバと監査ログ テンプレートを構成できます。 

次の手順を記載された順序で実行し、グローバル監査ログを構成します。

                             
手順参照先/説明
  1. Syslog通知サーバを構成する。
グローバル監査ログで使用するSyslog通知サーバを構成します。サード パーティのSyslogサーバまたはLog Decoderを送信先として定義して、監査ログを受け取ることができます。
グローバル監査ログの送信先の構成 グローバル監査ログの構成では、Syslog通知サーバ タイプを使用します。グローバル監査ログをLog Decoderに転送する場合、Syslogタイプの通知サーバを作成します。 
  1. 使用する監査ログ テンプレートを選択または構成する。
Syslog通知サーバの監査ログ テンプレートを選択します。デフォルトの監査ログ テンプレートを使用することも、独自の監査ログ テンプレートを定義することもできます。グローバル監査ログの構成では、監査ログ テンプレート タイプおよびSyslog通知サーバを使用します。
通知テンプレートの構成」には追加情報が記載されています。
Log Decoderの場合は、Default Audit CEFTemplateを使用します。特定の要件がある場合は、CEF(CommonEventFormat)テンプレートのフィールドを追加および削除することもできます。「グローバル監査ログ テンプレートの定義」には手順が記載されています。
サード パーティのSyslogサーバの場合は、デフォルトの監査ログ テンプレートを使用するか、独自の形式(CEFまたはCEF以外)を定義することができます。「グローバル監査ログ テンプレートの定義」ではその手順について説明し、「グローバル監査ログでサポートされるメタ キー変数」では使用可能な変数について説明しています。
  1. (オプション:Log Decoderを使用する場合のみ)LiveからCommon Event Format Parserを取得し、Log Decoderに導入する。
Liveから最新のCommon Event Format Parserを導入し、有効化します。「Liveリソースの検索と導入」と「ログParserの有効化と無効化」で手順を説明しています。 
  1. グローバル監査ログの構成を定義して、外部Syslogシステムへのグローバル監査ログの転送方法を定義する。 
グローバル監査ログの構成の定義」には手順が記載されています。グローバル監査ログの構成を追加すると、構成で選択した通知サーバに監査ログが転送されます。
  1. グローバル監査ログに監査イベントが表示されることを確認する。
監査ログをテストして、監査ログ テンプレートで定義されているように、監査イベントが表示されることを確認します。「グローバル監査ログの検証」には手順が記載されています。
You are here
Table of Contents > 標準的な手順 > グローバル監査ログの構成

Attachments

    Outcomes