SIEM に ObserveIT ビデオ監査ログ を追加すること

PRODUCT FACT SHEET
SIEM に ObserveIT ビデオ監査ログ
を追加すること
Rev. 1.1
2012.8.23
PRODUCT FACT SHEET
目次
概要 ...................................................................................................................................... 1
どのようなものか .................................................................................................................... 1
ユーザーアクティビティログとSplunkの統合 ............................................................................. 1
ユーザーアクティビティログとArcsightの統合........................................................................... 2
ユーザーアクティビティログとCA UARMの統合 ....................................................................... 3
ユーザーアクティビティログとRSA enVisionの統合 .................................................................. 3
統合アーキテクチャー............................................................................................................. 4
メタデータの統合 .................................................................................................................... 4
ビデオ再生の統合.................................................................................................................. 6
ObserveIT DataSheet
SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1
PRODUCT FACT SHEET
概要
SIEM やログ解析プラットフォームに ObserveIT のユーザーアクティビティのビデオログおよびユー
ザーアクティビティのテキストログを追加すると、セキュリティ監視およびコンプライアンス・レポート
を見込んだプラットフォーム内から、ユーザーがネットワーク上で何を行っているのかの全ての詳
細を正確に示すことが出来ます。
ちょっと想像してください: SIEM ダッシュボードは、潜在的なセキュリティインシデントに関して警
告します。 しかし ObserveIT と統合するだけで、システムログにドリルダウンして調査する代わり
に、“ビデオ再生”のアイコンをクリックするだけで、ユーザーが何を行ったかを正確に示すことがで
きるのです!
ObserveIT のオープン・アーキテクチャ(構造)は、全てのログ解析ツールを備えたストレートフォワ
ード・インテグレーション(わかりやすいシステム連携)を可能にします。
このドキュメントは、このオープン構造を示し、Splunk、Arcsight、RSA enVision、CA UARM 等の特
定の統合に関して説明しています。
どのようなものか
ユーザーアクティビティログとSplunkの統合
イベントの詳細は、ユーザーが触ったのは何のアプリケーションで、どの URL、ファイルおよびシス
テムコールであるのかを具体的に表示するイベントリストと共に、スタンダード・プランク・タイムラ
イン上でダッシュボードに表示されます。
個々の特定のユーザーアクティビティに対してビデオ再生アイコンを利用することが可能であり、
ユーザーアクティビティを瞬時にビデオ再生することを可能にします。
Splunk 内から ObserveIT テキストログおよびビデオ再生
ObserveIT DataSheet
SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1
1
PRODUCT FACT SHEET
2
ユーザーアクティビティログとArcsightの統合
Arcsight コンソールは、起動しているアプリケーションや、触わったファイル、ウィンドウタイトル等
を含む全てのユーザーアクティビティの詳細なリストを表示します。
ビデオの再生を見るには、任意のイベントを右クリックしてください。
Arcsight 内の ObserveIT テキストログ
Arcsight コンソール内の ObserveIT ビデオ再生
ObserveIT DataSheet
SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1
PRODUCT FACT SHEET
ユーザーアクティビティログとCA UARMの統合
ObserveIT のビデオとテキストログは、多くの CA 製品と関連があり、CA のアクセス・コントロール・
プラットフォームに強固に統合されています。
UARM 製品とともに、CA の完全なダッシュボードの統合は、興味を持った時にアイコンをクリック
することにより、テキストログの詳細や内訳を表す円グラフ、そしてもちろんビデオ再生も提供しま
す。
CA 製品の統合は、CA ライン製品として CA から直接利用可能です。
CA テクノロジーUARM プラットフォームの内部からの ObserveIT テキストログおよびビデオ再生
ユーザーアクティビティログとRSA enVisionの統合
全ての ObserveIT テキストログは、メタデータ・キャプチャに基づいたフィルタリングや検索などの
enVision から見ることができます。
全てのログは、後でビデオ再生に繋げることが可能です。RSA 統合関する詳細は、RSA サイト上
の統合キュメントをご覧ください:https://gallery.emc.com/docs/DOC-2548
詳細なメタデータに従ってフィルターにかけて enVision 内のログの詳細を監査
ObserveIT DataSheet
SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1
3
PRODUCT FACT SHEET
4
統合アーキテクチャー
統合には 2 種類あります:メタデータの統合(アクティビティログの記録)およびビデオ再生の統合で
す。
メタデータの統合
ログデータをインポートするには、データコレクタのメカニズムを使用します。ObserveIT のユーザ
ーアクティビティのメタデータログには、次の 2 つのうちのいずれかの方法でアクセスできます:直
接 SQL 経由でアクセスするか、リアルタイムログファイルのポーリングを通してアクセスするかで
す。いずれの方法も、Web サービスや API のコールレイヤーを経由する必要なく、データソースに
直接アクセスします。
SQL 統合
SQL サーバーのデータコレクタ
データポーリングの SQL クエリの例は以下の通りです:
“USE ObserveIT; SELECT ScreenshotTime, MachineName AS ServerName, LoginName,
DomainName, ApplicationName, WindowTitle, UserName, ClientName, ClientAddress, SessionID,
ScreenshotID, ApplicationServerName, 'WindowTitle' EventType FROM
dbo.SessionWindowTitleInstances INNER JOIN ServerInvatory on
ServerInvatory.SrvID=SessionWindowTitleInstances.SrvID WHERE ScreenshotTime >
'%TRACKING%'
ログファイル統合
図 1-リアルタイムログファイルのデータコレクタポーリング
ObserveIT DataSheet
SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1
PRODUCT FACT SHEET
この結果、以下のようなログファイルが出現します:
Windows Logのサンプル
"FirstScreenshotTime","SessionId","ClientName","ServerName","DomainName","LoginName","
UserName","ApplicationName","WindowTitle"
2011-08-11T07:07:20,afd3fe2b-2243-4ccb-b4fe-b2ba39cdda08,OIT-BRAD,OITHostedDemo-S,O
ITHostedDemo-S,Administrator,brad,ObserveIT,ObserveIT - Login (5.3.0.0)
2011-08-11T07:07:22,afd3fe2b-2243-4ccb-b4fe-b2ba39cdda08,OIT-BRAD,OITHostedDemo-S,O
ITHostedDemo-S,Administrator,brad,ObserveIT,ObserveIT Message - User Activity Auditing
2011-08-11T07:10:31,afd3fe2b-2243-4ccb-b4fe-b2ba39cdda08,OIT-BRAD,OITHostedDemo-S,O
ITHostedDemo-S,Administrator,brad,Windows Explorer,Program Manager
2011-08-11T07:10:41,afd3fe2b-2243-4ccb-b4fe-b2ba39cdda08,OIT-BRAD,OITHostedDemo-S,O
ITHostedDemo-S,Administrator,brad,SSMS - SQL Server Management Studio,Connect to Server
UNIX / Linux Logのサンプル
"OperationDate","SessionId","ClientName","ServerName","DomainName","LoginName","UserN
ame","CommandParam"
2011-08-11T08:57:29,d2526b82-8d37-4c35-b74e-26242a0f73e5,10.1.100.5,c56-32-3,observeit.c
om,dima,n/a,/bin/grep -q /usr/kerberos/bin
2011-08-11T08:57:30,d2526b82-8d37-4c35-b74e-26242a0f73e5,10.1.100.5,c56-32-3,observeit.c
om,dima,n/a,/bin/grep -q /usr/kerberos/sbin
2011-08-11T08:57:31,d2526b82-8d37-4c35-b74e-26242a0f73e5,10.1.100.5,c56-32-3,observeit.c
om,dima,n/a,/usr/bin/id -u
2011-08-11T08:57:33,d2526b82-8d37-4c35-b74e-26242a0f73e5,10.1.100.5,c56-32-3,observeit.c
om,dima,n/a,/sbin/consoletype stdout
2011-08-11T08:57:35,d2526b82-8d37-4c35-b74e-26242a0f73e5,10.1.100.5,c56-32-3,observeit.c
om,dima,n/a,/usr/bin/id -u
ObserveIT DataSheet
SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1
5
PRODUCT FACT SHEET
6
ビデオ再⽣の統合
メタデータログとは異なり、ビデオ再生データは、ObserveIT の内部の環境に保持されます。これ
は、ObserveIT には専用のプレイバック機能があり、データサイズが大きいため継続的に SIEM に
データが追加されることが望ましくないためです。
ビデオ再生統合
ObserveIT のデータベースが複数のローカルインストレーションと連合していても、ビデオ再生は、
単一の HTTP ターゲットとして利用できます。カスタムアプリケーションは実際のビデオストレージ
のロケーションを気にする必要はありません。
連合データベースでのビデオ再生統合
ObserveIT DataSheet
SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1
PRODUCT FACT SHEET
日本語マニュアル発行日 2012 年 3 月 14 日
本マニュアル原文は『Adding ObserveIT video audit logs to your SIEM』です
ジュピターテクノロジー株式会社 翻訳グループ
ObserveIT DataSheet
SIEM に ObserveIT ビデオ監査ログを追加すること Rev.1.1
7