収集したデータを外部サーバーへ転送する
作成日:2018年2月7日 | 更新日:2023年2月21日
対象ビルド:5031以上
ビルド5031より、ADAudit Plusが収集したデータを、外部サーバーへ転送する機能が追加されました。
以下では、データの転送を有効化する方法と対象カテゴリについてご案内します。
---------------------------------------------------------
---------------------------------------------------------
ADAudit PlusはデータをUTF-8でエンコードして転送します。
Syslogサーバーへ転送する場合
1.[ 管理 ] > [ SIEM統合 ] をクリックします
2.[ ADAudit Plusデータの転送オプションを有効化する ] にチェックを入れます
3.[ Syslog/SIEM ] を選択します
▼ クリックで拡大します
(1) Syslogサーバーのホスト名/IPアドレスを入力します
(2) Syslogサーバーがリッスンしているポート番号を入力します
(3) 使用するプロトコルを選択します
(4) 使用するログ形式を選択します
(5) データのフォーマットをカスタマイズします
Splunkサーバーへ転送する場合
1.[ 管理 ] > [ SIEM統合 ] をクリックします
2.[ ADAudit Plusデータの転送オプションを有効化する ] にチェックを入れます
3.[ Splunk HTTP ] を選択します
▼ クリックで拡大します
(1) Splunkサーバーのホスト名/IPアドレスを入力します
(2) SplunkサーバーのHTTPイベントコレクターで使用するポート番号を入力します
(3) 使用するプロトコルを選択します
(4) SSLが有効化されている場合は「True」、無効化されている場合は「False」を選択します
(5) Splunkサーバーで生成されたHTTPイベントコレクターのトークンを入力します
ArcSight(CEF)サーバーへ転送する場合
1.[ 管理 ] > [ SIEM統合 ] をクリックします
2.[ ADAudit Plusデータの転送オプションを有効化する ] にチェックを入れます
3.[ ArcSight(CEF) ] を選択します
▼ クリックで拡大します
(1) ArcSight(CEF)サーバーのホスト名/IPアドレスを入力します
(2) ArcSight(CEF)サーバーのコレクターで使用するプロトコルを選択します
(3) 使用するプロトコルを選択します
転送対象となるカテゴリ
| カテゴリ名 | カテゴリの別称 |
|---|---|
| ADAP技術者の監査レポート | ADAPTechnicianAudit |
| アラート | ADAPAlerts |
| ユーザーログオン レポート | LogonReports |
| ローカル ログオン/ログオフ | LocalLogonLogoffReports |
| アカウント作成 | ObjectCreationReports |
| ユーザー管理 | UserMgmtReports |
| グループ管理 | GroupMgmtReports |
| コンピューター管理 | ComputerMgmtReports |
| ポリシー変更 | PolicyChangeReports |
| 組織単位(OU)の変更 | OUMgmtReports |
| GPO管理 | GPOMgmtReports |
| ファイル監査レポート | FileAuditReports |
| サーバ監査レポート | ServerAuditReports |
| NPS監査レポート | NPSAuditReports |
| FIMレポート、リムーバブルストレージ、ネットワーク共有監査 | FIMAuditReports |
| ADオブジェクトレポート | ADObjectsAuditReports |
| DNS監査レポート | DNSAuditReports |
| ADFSの監査レポート | ADFSReports |
| LDAP監査 | LDAPReports |
| AzureADのログオンレポート | AzureADLogonReports |
| AzureADの管理レポート | AzureADAccountMgmtReports |
以上です。