PRODUCT FACT SHEET SIEM に ObserveIT ビデオ監査ログ を追加すること Rev. 1.1 2012.8.23 PRODUCT FACT SHEET 目次 概要 ...................................................................................................................................... 1 どのようなものか .................................................................................................................... 1 ユーザーアクティビティログとSplunkの統合 ............................................................................. 1 ユーザーアクティビティログとArcsightの統合........................................................................... 2 ユーザーアクティビティログとCA UARMの統合 ....................................................................... 3 ユーザーアクティビティログとRSA enVisionの統合 .................................................................. 3 統合アーキテクチャー............................................................................................................. 4 メタデータの統合 .................................................................................................................... 4 ビデオ再生の統合.................................................................................................................. 6 ObserveIT DataSheet SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1 PRODUCT FACT SHEET 概要 SIEM やログ解析プラットフォームに ObserveIT のユーザーアクティビティのビデオログおよびユー ザーアクティビティのテキストログを追加すると、セキュリティ監視およびコンプライアンス・レポート を見込んだプラットフォーム内から、ユーザーがネットワーク上で何を行っているのかの全ての詳 細を正確に示すことが出来ます。 ちょっと想像してください: SIEM ダッシュボードは、潜在的なセキュリティインシデントに関して警 告します。 しかし ObserveIT と統合するだけで、システムログにドリルダウンして調査する代わり に、“ビデオ再生”のアイコンをクリックするだけで、ユーザーが何を行ったかを正確に示すことがで きるのです! ObserveIT のオープン・アーキテクチャ(構造)は、全てのログ解析ツールを備えたストレートフォワ ード・インテグレーション(わかりやすいシステム連携)を可能にします。 このドキュメントは、このオープン構造を示し、Splunk、Arcsight、RSA enVision、CA UARM 等の特 定の統合に関して説明しています。 どのようなものか ユーザーアクティビティログとSplunkの統合 イベントの詳細は、ユーザーが触ったのは何のアプリケーションで、どの URL、ファイルおよびシス テムコールであるのかを具体的に表示するイベントリストと共に、スタンダード・プランク・タイムラ イン上でダッシュボードに表示されます。 個々の特定のユーザーアクティビティに対してビデオ再生アイコンを利用することが可能であり、 ユーザーアクティビティを瞬時にビデオ再生することを可能にします。 Splunk 内から ObserveIT テキストログおよびビデオ再生 ObserveIT DataSheet SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1 1 PRODUCT FACT SHEET 2 ユーザーアクティビティログとArcsightの統合 Arcsight コンソールは、起動しているアプリケーションや、触わったファイル、ウィンドウタイトル等 を含む全てのユーザーアクティビティの詳細なリストを表示します。 ビデオの再生を見るには、任意のイベントを右クリックしてください。 Arcsight 内の ObserveIT テキストログ Arcsight コンソール内の ObserveIT ビデオ再生 ObserveIT DataSheet SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1 PRODUCT FACT SHEET ユーザーアクティビティログとCA UARMの統合 ObserveIT のビデオとテキストログは、多くの CA 製品と関連があり、CA のアクセス・コントロール・ プラットフォームに強固に統合されています。 UARM 製品とともに、CA の完全なダッシュボードの統合は、興味を持った時にアイコンをクリック することにより、テキストログの詳細や内訳を表す円グラフ、そしてもちろんビデオ再生も提供しま す。 CA 製品の統合は、CA ライン製品として CA から直接利用可能です。 CA テクノロジーUARM プラットフォームの内部からの ObserveIT テキストログおよびビデオ再生 ユーザーアクティビティログとRSA enVisionの統合 全ての ObserveIT テキストログは、メタデータ・キャプチャに基づいたフィルタリングや検索などの enVision から見ることができます。 全てのログは、後でビデオ再生に繋げることが可能です。RSA 統合関する詳細は、RSA サイト上 の統合キュメントをご覧ください:https://gallery.emc.com/docs/DOC-2548 詳細なメタデータに従ってフィルターにかけて enVision 内のログの詳細を監査 ObserveIT DataSheet SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1 3 PRODUCT FACT SHEET 4 統合アーキテクチャー 統合には 2 種類あります:メタデータの統合(アクティビティログの記録)およびビデオ再生の統合で す。 メタデータの統合 ログデータをインポートするには、データコレクタのメカニズムを使用します。ObserveIT のユーザ ーアクティビティのメタデータログには、次の 2 つのうちのいずれかの方法でアクセスできます:直 接 SQL 経由でアクセスするか、リアルタイムログファイルのポーリングを通してアクセスするかで す。いずれの方法も、Web サービスや API のコールレイヤーを経由する必要なく、データソースに 直接アクセスします。 SQL 統合 SQL サーバーのデータコレクタ データポーリングの SQL クエリの例は以下の通りです: “USE ObserveIT; SELECT ScreenshotTime, MachineName AS ServerName, LoginName, DomainName, ApplicationName, WindowTitle, UserName, ClientName, ClientAddress, SessionID, ScreenshotID, ApplicationServerName, 'WindowTitle' EventType FROM dbo.SessionWindowTitleInstances INNER JOIN ServerInvatory on ServerInvatory.SrvID=SessionWindowTitleInstances.SrvID WHERE ScreenshotTime > '%TRACKING%' ログファイル統合 図 1-リアルタイムログファイルのデータコレクタポーリング ObserveIT DataSheet SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1 PRODUCT FACT SHEET この結果、以下のようなログファイルが出現します: Windows Logのサンプル "FirstScreenshotTime","SessionId","ClientName","ServerName","DomainName","LoginName"," UserName","ApplicationName","WindowTitle" 2011-08-11T07:07:20,afd3fe2b-2243-4ccb-b4fe-b2ba39cdda08,OIT-BRAD,OITHostedDemo-S,O ITHostedDemo-S,Administrator,brad,ObserveIT,ObserveIT - Login (5.3.0.0) 2011-08-11T07:07:22,afd3fe2b-2243-4ccb-b4fe-b2ba39cdda08,OIT-BRAD,OITHostedDemo-S,O ITHostedDemo-S,Administrator,brad,ObserveIT,ObserveIT Message - User Activity Auditing 2011-08-11T07:10:31,afd3fe2b-2243-4ccb-b4fe-b2ba39cdda08,OIT-BRAD,OITHostedDemo-S,O ITHostedDemo-S,Administrator,brad,Windows Explorer,Program Manager 2011-08-11T07:10:41,afd3fe2b-2243-4ccb-b4fe-b2ba39cdda08,OIT-BRAD,OITHostedDemo-S,O ITHostedDemo-S,Administrator,brad,SSMS - SQL Server Management Studio,Connect to Server UNIX / Linux Logのサンプル "OperationDate","SessionId","ClientName","ServerName","DomainName","LoginName","UserN ame","CommandParam" 2011-08-11T08:57:29,d2526b82-8d37-4c35-b74e-26242a0f73e5,10.1.100.5,c56-32-3,observeit.c om,dima,n/a,/bin/grep -q /usr/kerberos/bin 2011-08-11T08:57:30,d2526b82-8d37-4c35-b74e-26242a0f73e5,10.1.100.5,c56-32-3,observeit.c om,dima,n/a,/bin/grep -q /usr/kerberos/sbin 2011-08-11T08:57:31,d2526b82-8d37-4c35-b74e-26242a0f73e5,10.1.100.5,c56-32-3,observeit.c om,dima,n/a,/usr/bin/id -u 2011-08-11T08:57:33,d2526b82-8d37-4c35-b74e-26242a0f73e5,10.1.100.5,c56-32-3,observeit.c om,dima,n/a,/sbin/consoletype stdout 2011-08-11T08:57:35,d2526b82-8d37-4c35-b74e-26242a0f73e5,10.1.100.5,c56-32-3,observeit.c om,dima,n/a,/usr/bin/id -u ObserveIT DataSheet SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1 5 PRODUCT FACT SHEET 6 ビデオ再⽣の統合 メタデータログとは異なり、ビデオ再生データは、ObserveIT の内部の環境に保持されます。これ は、ObserveIT には専用のプレイバック機能があり、データサイズが大きいため継続的に SIEM に データが追加されることが望ましくないためです。 ビデオ再生統合 ObserveIT のデータベースが複数のローカルインストレーションと連合していても、ビデオ再生は、 単一の HTTP ターゲットとして利用できます。カスタムアプリケーションは実際のビデオストレージ のロケーションを気にする必要はありません。 連合データベースでのビデオ再生統合 ObserveIT DataSheet SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1 PRODUCT FACT SHEET 日本語マニュアル発行日 2012 年 3 月 14 日 本マニュアル原文は『Adding ObserveIT video audit logs to your SIEM』です ジュピターテクノロジー株式会社 翻訳グループ ObserveIT DataSheet SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1 7
© Copyright 2024 Paperzz