クリア

ManageEngineアプリケーションの追加

EventLog Analyzerは、以下のManageEngineアプリケーション(製品)と連携できます。

  • ADAudit Plus
  • ADManager Plus
  • Endpoint Central
  • ADSelfService Plus
  • ManageEngine ITOM製品
  • Password Manager Pro
  • ServiceDesk Plus

ManageEngine製品を連携することで、ユーザーはデバッグ、サーバー、セキュリティ情報を取得し、EventLog Analyzerで分析してレポートとして表示できます。また、Password Manager Proなどのアプリケーションとの連携により、ユーザーはパスワードの共有などのPassword Manager Pro内で追跡されるアクティビティと、リモートセッションの開始などのWindows環境内のイベントを関連付けることができ、脅威の早期検出、軽減、対応に役立ちます。

Endpoint Centralとの連携では、ITチームはインストールされたソフトウェアやパッチ、ポリシーの変更、Endpoint Centralの管理者が実行したリモートアクションに関する情報などに対して、Endpoint Centralのログを用いてアラートを生成できます。この連携により、管理者はフォレンジックを実施し、両製品からのログを相関させ、パターンを検出し、特定した脅威を軽減するための対応ワークフローを実行することも容易になります。

ManageEngineアプリケーションの追加手順

インポート設定

ManageEngine製品のログをインポートする場合のEventLog Analyzerの設定

  1. [設定]タブ → [ログソースの構成] → [アプリケーション]に移動します。
  2. [ME アプリケーション]タブに移動します。
  3. [+MEアプリケーションを追加]をクリックします。
  4. [アプリケーション]ドロップダウンメニューから対象のManageEngineアプリケーションを選択します。
  5. [ホスト]にて、デバイスを選択または追加します。
  6. [ファイルログをインポート]にチェックを入れます。
  7. 以下を設定します。
    • プロトコル:ドロップダウンメニューから、ログインポートに使用するプロトコルを選択します。必要に応じてポート番号を指定します。
    • ユーザー名:選択したデバイスのユーザー名を入力します。
    • パスワード:プロトコルに関連付けられたパスワード(SMB-Windowsプロトコルの場合は、Windowsユーザーのパスワード)を入力します。
    • ログフォルダ:[参照]ボタンをクリックして、選択したアプリケーションのログフォルダー選択します。
    • スケジュールを監視:ログインポートの間隔を設定します。
  8. [追加]をクリックします。

注記:インポート設定では、アクセスログとデバッグログのみがインポートされます。

サポート対象の製品は、以下のとおりです。


  • ADAudit Plus
  • ADSelfServicePlus
  • ADManager Plus
  • OpManager
  • OpManager Plus
  • OpManager MSP
  • Firewall Analyzer
  • NetFlow Analyzer
  • Network Configuration Manager
  • ServiceDesk Plus

Syslog設定

SyslogをリッスンしてManageEngine製品のログを収集する場合の各製品の設定

ADAudit Plus

  1. ADAudit Plusにログインして、[管理]タブに移動します。
  2. [設定]配下の[SIEM統合]をクリックします。
  3. [ ADAudit Plusアプリケーションログの転送を有効化]にチェックを入れます。
  4. [EventLog Analyzer]タブにチェックを入れます。
  5. 以下を設定します。
    • EventLog Analyzerが起動しているサーバー:EventLog Analyzerがインストールされているマシンの名前またはIPアドレスを入力します。
    • EventLog Analyzerサーバーポート番号:EventLog Analyzerが使用しているポート番号を入力します。
    • ユーザー名:管理者権限を持つEventLog Analyzerユーザーのユーザー名を入力します。
    • パスワード:管理者権限を持つEventLog Analyzerユーザーのパスワードを入力します。
    • プロトコルの設定:EventLog Analyzerが使用しているプロトコルを選択します。
    • Syslog 標準規格:転送するログのSyslog形式を選択します。
  6. [転送するカテゴリの選択]ボタンをクリックし、[転送するアプリケーションログカテゴリを選択]画面からEventLog Analyzerに転送するログを選択します。

注記:[管理]タブ(配下の[設定]を含む)対して権限を持つADAudit Plusユーザーのみが、EventLog Analyzerとの連携を有効にできます。

ログの種類の説明

  • アクセスログ:ADAudit PlusのWebサーバーアクセスログ
  • デバッグログ:ADAudit Plusの内部サーバー操作ログ(サーバーの起動、失敗したログオン、成功したログオンなど)

ADManager Plus

  1. ADManager Plusにログインして、[管理]タブに移動します。
  2. [システム設定]配下の[統合]をクリックします。
  3. [ログの転送]配下の[Log360]をクリックします。
  4. [Log360 統合を有効にする]を有効にします。
  5. 以下を設定します。
    • サーバー名:EventLog Analyzerがインストールされているマシンの名前を入力します。
    • ポート番号:EventLog Analyzerサービスが使用しているポート番号を入力します。
    • プロトコル:EventLog Analyzerサービスが使用しているプロトコルを入力します。
    • 認証:EventLog Analyzerがリモートマシンにインストールされている場合は、チェックボックスを有効にします。
    • ユーザー名:EventLog Analyzerのデフォルト管理者ユーザーの名前を入力します。
    • パスワード:デフォルト管理者ユーザーのパスワードを入力します。
    • ログのタイプ:EventLog Analyzerに転送するログのカテゴリを選択します。詳細は、以下の「ログの種類の説明」をご参照ください。
    • Syslog ポートを手動で構成する:ログを転送するポートとプロトコルを手動で変更する場合は、チェックボックスを有効にします。デフォルトでは、EventLog Analyzerで設定されたポートが自動的に取得されます。
    • Syslogプロトコル:ログ転送のプロトコルを選択します。
    • Syslogポート:ログの転送先のEventLog Analyzerポートを指定します。
  6. [接続テスト&保存]をクリックして接続を確立し、設定を保存します。

注記:セキュリティ上の理由により、ADManager Plusのデフォルト管理者のみが、EventLog Analyzerとの連携を有効にできます。

ログの種類の説明

  • アクセスログ:ADManager PlusのWebサーバーアクセスログ
  • デバッグログ:ADManager Plusの内部サーバー操作ログ(サーバーの起動、失敗したログオン、成功したログオンなど)
  • ユーザーアクティビティログ:ADManager Plusでユーザーが実行したアクション

ADSelfServicePlus

  1. ADSelfService Plusにログインして、[管理]タブに移動します。
  2. [製品設定]配下の[製品統合]をクリックします。
  3. [Log360 - EventLog Analyzer]を選択します。
  4. 以下を設定します。
    • サーバー名またはIP:EventLog Analyzerがインストールされているマシンの名前を入力します。
    • ポート番号:EventLog Analyzerサービスが使用しているポート番号を入力します。
    • プロトコル:EventLog Analyzerサービスが使用しているプロトコルを入力します。
    • ユーザー名:EventLog Analyzerのデフォルト管理者ユーザーの名前を入力します。
    • パスワード:デフォルト管理者ユーザーのパスワードを入力します。
    • ログ種類を選択してください:EventLog Analyzerに転送するログのカテゴリを選択します。詳細は、以下の「ログの種類の説明」をご参照ください。

注記:セキュリティ上の理由により、ADSelfService Plusのデフォルト管理者のみが、EventLog Analyzerとの連携を有効にできます。

ログの種類の説明

  • アクセスログ:ADSelfService PlusのWebサーバーアクセスログ
  • デバッグログ:ADSelfService Plusの内部サーバー操作ログ(サーバーの起動、失敗したログオン、成功したログオンなど)

ManageEngine ITOM製品

アクセスログとデバッグログの設定

  1. ITOM製品にログインします。
  2. [設定]タブ → [一般設定] → [サードパーティ製品の統合]に移動します。
  3. [ManageEngine Log360 - EventLog Analyzer]の右下にある[+設定]クリックします。
  4. 以下を設定します。
    • サーバーIP/DNS名:EventLog AnalyzerがインストールされているサーバーのIPアドレスまたはDNS名、およびポートとプロトコルを入力します。
    • ユーザー名:管理者権限を持つEventLog Analyzerユーザーのユーザー名を入力します。
    • パスワード:管理者権限を持つEventLog Analyzerユーザーのパスワードを入力します。
    • ログファイルの選択:ドロップダウンメニューから、EventLog Analyzerに転送するログを選択します。
      • アクセスログ:Webサーバーに対して行われたリクエストを含むログ(IPアドレス、タイムスタンプ、リクエストされたリソース、各リクエストの結果などの情報)
      • デバッグログ:OpManagerの動作中に生成されるログ(問題の診断とトラブルシューティングに使用される情報)

注記:以下のManageEngine ITOM製品が、EventLog AnalyzerとのSyslog連携をサポートしています。


  • OpManager
  • OpManager Plus
  • OpManager MSP
  • Firewall Analyzer
  • NetFlow Analyzer
  • Network Configuration Manager

アラームの設定

  1. ITOM製品にログインします。
  2. [設定]タブ → [通知]に移動します。
  3. [追加]をクリックします。
  4. プロファイルタイプの設定
    • [syslogプロファイル]を選択し、以下の詳細を入力します。
      • 宛先ホスト:EventLog Analyzerサーバー名またはIPアドレス
      • 宛先ポート:EventLog Analyzerがリッスンしている任意のポート
      • 重要度とファシリティ:デフォルト値($severityとkernel)を利用する必要があります。

    • EventLog AnalyzerがOpManagerからのログを解析するには、OpManagerのsyslogプロファイル内のメッセージ変数を以下の形式で入力する必要があります。

      必須メッセージ変数
      • ALARM_MESSAGE:$message
      • ALARM_ID:$alarmid
      • ALARM_CODE:$alarmid

      その他の重要なメッセージ変数
      • ALARM_SOURCE:$displayName
      • ALARM_CATEGORY:$category
      • ALARM_SEVERITY:$stringseverity
      • ALARM_TRIGGER_TIME:$strModTime
      • ALARM_EVENT_TYPE:$eventType
      • Entity: $entity
      • Last Polled Value: $lastPolledValue
    • [次へ]をクリックします。
  5. 条件の設定
    • 条件のチェックボックスをクリックして有効にします。
    • すべての重要度に対して通知を有効にします。
    • [次へ]をクリックします。
  6. 装置の選択
    • [使用可能な装置]から[選択した装置]に装置を移動します。
    • [次へ]をクリックします。
  7. スケジュールの設定
    • 設定は不要です。
    • [次へ]をクリックします。
  8. プレビューの設定
    • プロファイル名を入力します。
  9. [保存]をクリックします。

    10. 注記:同じマシンで2つ以上のManageEngine製品を稼働している場合は、以下の点を確認してください。


    • 製品が使用するポートはそれぞれ異なります。
    • OpManagerおよびPassword Manager Proからログを受信するEventLog Analyzerポートは、他のManageEngine製品では使用されません。
adding-manageengine-application-01

注記:以下のManageEngine ITOM製品が、アラームの設定をサポートしています。


  • OpManager
  • OpManager Plus
  • OpManager MSP

Password Manager Pro

  1. Password Manager Proにログインします。
  2. [監査]タブ → [リソース監査] → [監査アクション] → [リソース監査の設定]に移動します。
  3. すべての操作に対して、[SYSLOGを生成]を有効にし、[保存]をクリックします。
  4. [監査]タブ → [ユーザー監査] → [監査アクション] → [ユーザー監査の設定]に移動します。
  5. すべての操作に対して、[SYSLOGを生成]を有効にし、[保存]をクリックします。
  6. [管理]タブ → [連携] → [SNMPトラップ/Syslog設定]に移動し、[Syslogコレクタ]タブをクリックします。
    • EventLog Analyzerサーバー名と、EventLog Analyzerがリッスンしているポートを入力します。
    • プロトコル(UDP/TCP)とファシリティ名を選択します。
  7. [保存]をクリックします。

ServiceDesk Plus

  1. ServiceDesk Plusにログインして、[管理](歯車)アイコンをクリックします。
  2. [アプリ&アドオン]配下の[連携]をクリックします。
  3. [ManageEngine]タブ配下の[ManageEngine SIEM]を選択します。
  4. [EventLog Analyzerを有効化]にチェックを入れます。
  5. 以下を設定します。
    • ホストURL:EventLog AnalyzerサービスがホストされているURLを入力します。URLには、プロトコル(http または https)、ホスト名またはIPアドレス、およびポート番号を含める必要があります。
    • ユーザー名:EventLog Analyzerのデフォルト管理者ユーザーの名前を入力します。
    • パスワード:デフォルト管理者ユーザーのパスワードを入力します。
    • ログタイプの選択:EventLog Analyzerに転送するログのカテゴリを選択します。詳細は、以下の「ログの種類の説明」をご参照ください。

注記:ServiceDesk Plusのデフォルト管理者のみが、EventLog Analyzerとの連携を有効にできます。

ログの種類の説明

  • アクセスログ:ServiceDesk PlusのWebサーバーアクセスログ
  • デバッグログ:ServiceDesk Plusの内部サーバー操作ログ(サーバーの起動、失敗したログオン、成功したログオンなど)

HTTPsアクションログ収集の設定

Endpoint Central

  1. Endpoint Centralにログインして、[管理]タブに移動します。
  2. [統合化]配下の[Log360 - EventLog Analyzer]をクリックします。
  3. 以下を設定します。
    • サーバー名:EventLog Analyzerがインストールされているマシン名またはIPアドレスを入力します。
    • プロトコル:デフォルトでは、安全な通信を確保するために「HTTPS」が設定されています。プロトコルはHTTPSに制限されているため、EventLog Analyzerも同様に設定する必要があります。HTTPSを設定する手順は、こちらのページをご参照ください。
    • サーバーポート:EventLog Analyzerが使用しているポート番号を入力します。
    • APIトークン:AuthTokenを入力します。AuthTokenを生成する手順は、こちらのページをご参照ください。
      • コンポーネント:EventLog Analyzer
      • 必要な範囲:http_listen
    • データ転送間隔:アクションログを同期する間隔を選択します。

注記:[管理]タブ(配下の[統合化]を含む)対して権限を持つEndpoint Centralユーザーのみが、EventLog Analyzerとの連携を有効にできます。


データ強化の設定(Endpoint Central)

ManageEngine Endpoint CentralのセキュリティデータポイントとLog360の高度な脅威検出を組み合わせることで、セキュリティインシデントを迅速かつ効果的に調査して対応できます。

Endpoint Central(オンプレミス)

  1. [設定]タブ → [ログソースの構成] → [アプリケーション]に移動します。
  2. [ME アプリケーション]タブに移動します。
    adding-manageengine-application-02
  3. [+MEアプリケーションを追加]をクリックします。
    adding-manageengine-application-03
  4. [アプリケーション]ドロップダウンメニューから[Endpoint Central]を選択します。
  5. [ホスト]にて対象のサーバーを入力するか選択します。(Endpoint Centralが稼働しているサーバーを選択します。)
  6. [データの強化]にチェックを入れます。
  7. 以下を設定します。
    • プロトコル:ドロップダウンメニューから、データを取得する際のプロトコルを選択します。また、ポート番号を入力します。(デフォルトのポート番号:HTTP/8020、HTTPS/8383)
    • APIキー:Endpoint CentralのAPIエクスプローラーから生成したAPIキーを入力します。(Endpoint Centralで[管理]タブ → [APIエクスプローラー]にアクセスし、こちらのページに記載されている認証手順に従ってください。)

      • 注記:ユーザーに「VulnerabilityMgmt_Read」、「PatchMgmt_Read」、「PatchMgmt_Write」の権限があることをご確認ください。

  8. [追加]をクリックします。

    9. 注記:認証情報に、APIにアクセスするための十分な権限があることをご確認ください。

注記:データ強化を使用する場合は、事前定義されたアラートプロファイルと相関ルールを有効にしてください。


Endpoint Central Cloud(クラウド)

  1. [設定]タブ → [ログソースの構成] → [アプリケーション]に移動します。
  2. [ME アプリケーション]タブに移動します。
    adding-manageengine-application-04
  3. [+MEアプリケーションを追加]をクリックします。
    adding-manageengine-application-05
  4. [アプリケーション]ドロップダウンメニューから[Endpoint Central Cloud]を選択します。
  5. [データの強化]にチェックを入れます。(デフォルトでチェックされます。)
  6. 以下を設定します。
    • データセンター:Endpoint Central Cloudがホストされているデータセンターを選択します。
    • こちらのページに記載されている認証手順(Self Client Method)に従って、以下の資格情報を取得します。
      • クライアントID
      • クライアントシークレット
      • コード

        • 注記:コード生成時に考慮するスコープは、「DesktopCentralCloud.PatchMgmt.UPDATE」、「DesktopCentralCloud.PatchMgmt.read」、「DesktopCentralCloud.Common.read」、「DesktopCentralCloud.VulnerabilityMgmt.READ」です。

    • スケジュール間隔:データを同期する間隔を指定します。
  7. [追加]をクリックします。

    8. 注記:認証情報に、APIにアクセスするための十分な権限があることをご確認ください。

注記:データ強化を使用する場合は、事前定義されたアラートプロファイルと相関ルールを有効にしてください。


注記:EventLog AnalyzerとEndpoint Centralの連携により、Endpoint Centralのデータを活用してセキュリティ体制を強化できます。以下の新機能が追加されました。


  • 脆弱性と設定ミスに関する条件:カスタム相関ルールとアラートを使用して、脆弱性や誤った設定のあるデバイスを識別できます。
  • 合理化されたパッチ管理:インシデントワークフローを使用して、パッチを承認して直接インストールできます。

脆弱性と設定ミスに関する条件

脆弱性と設定ミスに関する条件は、連携が成功した後にのみ使用可能になり、デバイスフィールドに対して使用できます。


  • は脆弱です:Endpoint Centralでデバイスが脆弱であるとタグ付けされているかどうかを確認します。
  • は次に脆弱:特定の攻撃に対して脆弱なデバイスであるかどうかを特定します(例:CVE-2023-38831)。
  • は次に対して設定が間違っています:Endpoint Centralによって誤った設定(例:Windows Credential Guardが無効)が検知されたデバイスを検出します。

カスタム相関ルールの作成

脆弱性と設定ミスに関する条件を使用してカスタム相関ルールを作成する方法は、こちらのページをご参照ください。


カスタムアラートプロファイルの作成

脆弱性と設定ミスに関する条件を使用してカスタムアラートプロファイルを作成する方法は、こちらのページをご参照ください。


ワークフローを使用したパッチ管理

連携により、以下のワークフローアクションが利用可能になります。


  • パッチをインストールする
  • パッチを承認

上記アクションを使用してインシデントワークフローを作成する方法は、こちらのページをご参照ください。

       概要