SIEM統合
ADAudit Plusの「SIEM統合」オプションを使用することで、ADAuditPlusから外部のSIEM製品またはSyslogサーバーにリアルタイムでデータを転送できます。転送できる内容は以下のとおりです。
- すべてのADAuditPlusデータカテゴリ(プリンター監査レポートおよび高度なGPOレポートを除く)
- ADAuditPlus技術担当者監査レポート
- アラート
ADAudit PlusデータをSyslogサーバーに転送
SyslogはUNIXシステムのイベントログサービスです。。
Syslogサーバーの構成
- デフォルトでは、Syslogデーモンはudp、ポート514で実行されます。
- デフォルト設定は、構成ファイル/etc/syslog.confで変更できます。変更を有効にするために、必ずSyslogデーモンを再起動してください。
ADAuditPlusでSyslog転送を有効にする手順
- [管理]タブ → [SIEM統合]をクリックします。
- [有効にする]チェックボックスをオンにして、[Syslog / SIEM]にチェックを入れます。
- Syslogサーバ名を入力します。SyslogサーバーがADAuditPlusサーバーから到達可能であることを確認します。
- Syslogポート番号とプロトコルを入力します。
- SIEMパーサーに必要なSyslog標準とデータ形式を選択します。
- 転送するカテゴリを、画面右上の「転送するカテゴリの選択」より、選択します。
LogRhythm syslog キー マッピング
ADAudit Plus は、幅広い syslog キー データを転送します。以下にリストされているのは、すべての監査データに共通するキー マッピングです。レポート カテゴリに基づいて異なる動的キーは、次のテーブルにはリストされていません。
| Syslog キー | ADAudit Plus コラム |
|---|---|
| カテゴリ | ADAuditPlusカテゴリ |
| EVENT_NUMBER | イベント番号 |
| RECORD_NUMBER | レコード番号 |
| UNIQUE_ID | 一意の ID |
| REPORT_PROFILE | ADAuditPlusレポートのプロファイル名 |
| ALERT_PROFILE | ADAuditPlusアラートのプロファイル名 |
|
ソース APP_DISPLAY_NAME |
イベントソース |
| 重要度 | 重要度 |
| TIME_GENERATED | イベント時間 |
|
USER_MGMT_TYPE GROUP_MGMT_TYPE OPERATION_TYPE OBJECT_CLASS_TEXT ACCESS_TYPE_TEXT MODIFIED_PROPS COMP_MGMT_TYPE OBJECT_CLASS CHANGE_TYPE_TEXT |
イベントタイプ |
| REMARKS | イベントの備考 |
| EVENT_TYPE_TEXT | イベントの結果 |
| FORMAT_MESSA GE | ADAuditPlusメッセージ文字列 |
|
COMMAND_PATH DISPLAY_NAME FILE_NAME |
ファイル名 |
| POLICY_PATH | ファイルの場所 |
|
CLIENT_USER_NAME USERNAME LOGIN_NAME ACTOR_NAME CALLER_USER_NAME USER_DISPLAY_NAME |
ユーザー名/発信者のユーザー名 |
|
CALLER_USER_SID USER_SID |
ユーザーSID/発信者のユーザー名 |
|
ドメイン ACCOUNT_DOMAIN EVENT_MACHINE_DOMAIN CALLER_USER_DOMAIN TENANT_NAME |
ドメイン名/発信者のドメイン名 |
|
CLIENT_HOST_N AME EVENT_MACHINE _NAME DEVICE_INFO |
ユーザーマシン/発信者のマシン名 |
|
ACTOR_IP_ADDRESS CLIENT_MC_NAME CLIENT_IP_ADDRESS IP_ADDRESS |
ユーザーマシンのIPアドレス |
|
ACCOUNT_NAME OBJECT_NAME_TEXT TARGET0_UPN |
ターゲットユーザー名 |
|
TARGET0_NAME ACCOUNT_SID |
ターゲットユーザーSID |
ADAudit Plusデータを外部SIEM製品に転送:Splunk HTTP
Splunk Http Event Collectorの構成
- [設定] → [データ入力] → [HTTP イベント コレクター]をクリックします。
- [新しいトークン]をクリックします。トークンの名前(できればADAuditPlus)を指定し、残りはデフォルト値のままにします(必要に応じてカスタマイズします)。
- 構成を保存すると、認証トークンが生成されます。このトークンは、ADAuditPlus構成で提供する必要があります。
- [Http Event Collector]ページの[グローバル設定]で、[全てのトークン]を有効にします。
- [グローバル設定]での必要に応じて、[Httpポート番号]と[SSL]の設定をカスタマイズすることもできます。
ADAuditPlusでSplunk転送を有効にする手順
- [管理]タブ → [SIEM統合]をクリックします。
- [有効にする]チェックボックスをオンにして、[Splunk HTTP]ボタンを選択します。
- Splunkサーバー名を入力します。SplunkサーバーがADAuditPlusサーバーから到達可能であることを確認します。
- Splunk Http Event Collectorのポート番号とプロトコルを入力します。
- ADAuditPlus用にSplunkで生成されたHttp Event Collectorトークンを指定します。
- 転送するカテゴリを、画面右上の「転送するカテゴリの選択」より、選択します。
ADAudit Plusデータを外部SIEM製品に転送:ArcSight
ADAuditPlusでArcSight転送を有効にする手順:
- [管理]タブ → [SIEM統合]をクリックします。
- [有効にする]チェックボックスをオンにして、[ArcSight]ラジオボタンを選択します。
- ArcSightサーバー名を入力します。ArcSightサーバーがADAuditPlusサーバーから到達可能であることを確認します。
- ArcSight Collectorのポート番号とプロトコルを入力します。
- 転送するカテゴリを、画面右上の「転送するカテゴリの選択」より、選択します。
ArcSight CEFキーマッピング
| CEFキー | ADAuditPlus列 |
|---|---|
| cat | ADAuditPlusカテゴリ |
| cn1 | イベント番号 |
| cn2 | レコード番号 |
| cn3 | 一意の ID |
| cs1 | ADAuditPlusレポートのプロファイル名 |
| cs4 | ADAuditPlusアラートのプロファイル名 |
| cs3 | イベントソース |
| cs5 | 重要度 |
| rt | イベント時間 |
| 種類 | イベントタイプ |
| 理由 | イベントの備考 |
| 結果 | イベントの結果 |
| msg | ADAuditPlusメッセージ文字列 |
| fileName | ファイル名 |
| fileLocation | ファイルの場所 |
| suser | ユーザー名/発信者のユーザー名 |
| suid | ユーザーSID/発信者のユーザー名 |
| sntdom | ドメイン名/発信者のドメイン名 |
| shost | ユーザーマシン/発信者のマシン名 |
| cs2 | ユーザーマシンのIPアドレス |
| duser | ターゲットユーザー名 |
| duid | ターゲットユーザーSID |
SIEM製品でADAuditPlusデータを検索するには
転送されたADAudit Plusイベントを検索し、レポートにグループ化し、SIEM製品で必要に応じて分類できます。
- ADAuditPlusからのイベントは、[ソース]フィールドで簡単に分離できます。
- 各ログイベントには[カテゴリ]フィールドがあります。このフィールドに指定できる値は、構成ページの[転送するカテゴリを選択]メニューで定義されています。
- 各イベントのタイムスタンプは[TIME_GENERATED]フィールドで利用できます。
- イベントに関連する他のフィールドは、イベントカテゴリによって異なる場合があります。したがって、SIEM製品で必要なカテゴリごとに1つの正規表現を維持できます。