収集したデータを外部サーバーへ転送する
作成日:2018年2月7日 | 更新日:2023年2月21日
対象ビルド:5031以上
ビルド5031より、ADAudit Plusが収集したデータを、外部サーバーへ転送する機能が追加されました。
以下では、データの転送を有効化する方法と対象カテゴリについてご案内します。
---------------------------------------------------------
---------------------------------------------------------
ADAudit PlusはデータをUTF-8でエンコードして転送します。
Syslogサーバーへ転送する場合
1.[ 管理 ] > [ SIEM統合 ] をクリックします
2.[ ADAudit Plusデータの転送オプションを有効化する ] にチェックを入れます
3.[ Syslog/SIEM ] を選択します
▼ クリックで拡大します
(1) Syslogサーバーのホスト名/IPアドレスを入力します
(2) Syslogサーバーがリッスンしているポート番号を入力します
(3) 使用するプロトコルを選択します
(4) 使用するログ形式を選択します
(5) データのフォーマットをカスタマイズします
Splunkサーバーへ転送する場合
1.[ 管理 ] > [ SIEM統合 ] をクリックします
2.[ ADAudit Plusデータの転送オプションを有効化する ] にチェックを入れます
3.[ Splunk HTTP ] を選択します
▼ クリックで拡大します
(1) Splunkサーバーのホスト名/IPアドレスを入力します
(2) SplunkサーバーのHTTPイベントコレクターで使用するポート番号を入力します
(3) 使用するプロトコルを選択します
(4) SSLが有効化されている場合は「True」、無効化されている場合は「False」を選択します
(5) Splunkサーバーで生成されたHTTPイベントコレクターのトークンを入力します
ArcSight(CEF)サーバーへ転送する場合
1.[ 管理 ] > [ SIEM統合 ] をクリックします
2.[ ADAudit Plusデータの転送オプションを有効化する ] にチェックを入れます
3.[ ArcSight(CEF) ] を選択します
▼ クリックで拡大します
(1) ArcSight(CEF)サーバーのホスト名/IPアドレスを入力します
(2) ArcSight(CEF)サーバーのコレクターで使用するプロトコルを選択します
(3) 使用するプロトコルを選択します
転送対象となるカテゴリ
カテゴリ名 | カテゴリの別称 |
---|---|
ADAP技術者の監査レポート | ADAPTechnicianAudit |
アラート | ADAPAlerts |
ユーザーログオン レポート | LogonReports |
ローカル ログオン/ログオフ | LocalLogonLogoffReports |
アカウント作成 | ObjectCreationReports |
ユーザー管理 | UserMgmtReports |
グループ管理 | GroupMgmtReports |
コンピューター管理 | ComputerMgmtReports |
ポリシー変更 | PolicyChangeReports |
組織単位(OU)の変更 | OUMgmtReports |
GPO管理 | GPOMgmtReports |
ファイル監査レポート | FileAuditReports |
サーバ監査レポート | ServerAuditReports |
NPS監査レポート | NPSAuditReports |
FIMレポート、リムーバブルストレージ、ネットワーク共有監査 | FIMAuditReports |
ADオブジェクトレポート | ADObjectsAuditReports |
DNS監査レポート | DNSAuditReports |
ADFSの監査レポート | ADFSReports |
LDAP監査 | LDAPReports |
AzureADのログオンレポート | AzureADLogonReports |
AzureADの管理レポート | AzureADAccountMgmtReports |
以上です。