PAM360のManageEngine EventLog Analyzerとの統合

本書では、PAM360のManageEngine EventLog Analyzerとの統合プロセスについて説明します。本書の終わりには、以下について学ぶことになります: 

  1. 統合の主な利点
  2. 統合はどのように機能しますか?
  3. 統合を実行するための前提条件
  4. EventLog Analyzerで統合を構成する手順
  5. EventLog Analyzer統合をPAM360で有効化する手順
  6. トラブルシューティングのヒント

1.統合の主な利点

ManageEngine PAM360は、ログ収集、カスムログ構文解析、およびレポート付き完全ログ分析を促進するエンド・ツー・エンドログ管理ソリューションであるManageEngine EventLog Analyzerと統合されます。

PAM360-EventLog Analyzer統合では、ログデータを、PAM360インターフェイスから起動するリモートセッション向けに統合および可視化できます。PAM360内のこれらのログをチェックするには、[監査] >> [記録された接続]の順に進み、リソース名の横のアクティビティログ列を表示します。

メモ:現在、PAM360-EventLog Analyzer統合によるログデータ収集は、Windows RDPセッションでのみ利用できます。

2.統合はどのように機能しますか?

EventLog Analyzerは、PAM360のデータをAPIから、サーバー詳細とログイン認証方法を使って取得します。EventLog AnalyzerにPAM360から送信されたログデータは、定期的に更新され、より分かりやすいように可視化されます。統合が完了したら、アクティブおよびクローズされたリモートセッションのリスト、リモートセッション中に実行されたイベントの概要全体、およびマシンログ詳細をPAM360インターフェイスから直接表示できます。

3.統合を実行するための前提条件

3.1 WindowsリソースのPAM360からのリモートセッションの承認を許可

リモートセッションがPAM360から起動するWindowsデバイスで以下のコマンドを実行します。これらのコマンドは、リモートセッションをPAM360から初めて起動するすべてのデバイスで実行する必要があります。初回以降は、今後リモートセッションをする場合もこのコマンドを再実行する必要がありません。これは、すべてのターゲットエンドポイントでGPO一括更新で実行することもできます。これらのコマンドでは、ログデータを特定WindowsマシンからEventLog Analyzerに送信することができます。

管理者アカウントからコマンドプロンプトを開き、以下を実行します:

  1. auditpol /set /category:"Account Logon" /success:enable /failure:enable
  2. gpupdate /force

3.2 SSL証明書をサーバーにインポート

PAM360では、HTTPSでリモート接続を安全確保できます。統合中にHTTPSを有効にするには、有効なSSL証明書をサーバーにインポートする必要があります。下の手順にしたがって、証明書をサーバーにインポートします:

  1. PAM360 Serviceを停止します。
  2. コマンドプロンプトを開き、"<PAM360_Installation_Folder>/bin"ディレクトリに進みます。
  3. 次のコマンドを実行します:
    importCert.bat <Path of the certificate used by EventLog Analyzer> 
  4. PAM360サービスを再起動します。

4.EventLog Analyzerで統合を構成する手順

EventLog Analyzer統合をPAM360で有効にする前に、EventLog Analyzerコンソールの下の構成手順にしたがって、EventLog Analyzerを最適化し、ログfデータをPAM360から受け取ります。

4.1 PAM360とResourceをEventLog Analyzerのデバイスとして追加

  1. [Log360] >> [EventLog Analyzer]の順に移動します。
  2. 以下のデバイスをEventLog Analyzerコンソールに追加します:
    1. PAM360 Serverを追加します。
    2. リモートセッションをPAM360から起動する、および対応するログをEventLog Analyzerから収集するリソースをすべて追加します。
    3. リソースデバイスはEventLog Analyzerの検出関数を使って、手動で追加できますので、注意してください。EventLog Analyzerのワークグループについての詳細は、ここをクリックしてください。

4.2 PAM360をEventLog Analyzerにアプリケーションとして追加

  1. [Log360] >> [EventLog Analyzer]で、[設定] >> [アプリケーションソースを管理] >> [MEアプリケーション] >> [PAM360]の順に移動します。
  2. ここで、PAM360が実行されているマシンを選択し、[追加]をクリックします。

4.3 アクティビティルールをPAM360セッションに有効化

  1. [Log360] >> [EventLog Analyzer]で、[相関] >> [ルールを管理] >> [アクティビティルール]の順に移動します。
  2. PMPセッションの横の赤色アイコンをクリックして、PAM360から行うリモートセッションについてアクティビティログを有効にします。

上記の手順を完了したら、次の手順に進み、PAM360でEventLog Analyzerを有効にできます。

5.EventLog Analyzer統合をPAM360で有効化する手順

PAM360コンソールで、下の手順にしたがって、統合を有効にします:

  1. [管理者] >> [統合] >> [ManageEngine]の順に移動します。PAM360と統合されたすべてのManageEngine製品の統合ビューが表示されます。

    2. ManageEngine Integration 役割を持つユーザーのみに、[統合]の下に [ManageEngine] オプションが表示されます。


  2. 表示されるページで、統合をそれぞれ有効化、または無効化したかに基づいて、下のオプションとあわせて、EventLog Analyzerブロックが表示されます:
    3. integration-log360

ボタンと定義:

Sl.No: ボタン 定義

1

有効化
統合が無効になっている場合、このオプションが表示されます。このボタンをクリックして、EventLog Analyzerサーバーの必要な詳細を入力し、統合を有効にします。

2

編集
統合が有効になっている場合、このオプションが表示されます。このボタンをクリックして、EventLog Analyzerのホスト名とポート詳細を更新します。

3

無効化
統合が有効になっている場合、このオプションが表示されます。統合を無効にするには、このボタンをクリックします。
  1. [有効化]をクリックして、以下の詳細を入力します:
    1. ホスト名 - EventLog Analyzerが実行されているホストマシン
    2. ポート
    3. ユーザー名
    4. パスワード
    5. HTTPSを有効化 - このチェックボックスを選択し、HTTPSからの接続を有効にします。HTTPSが有効な場合、有効なSSL証明書をこのサーバーにインポートする必要があります。SSL証明書をインポートする手順については、ここをクリックしてください。
      Log360構成
  2. [有効にする]をクリックします。PAM360-EventLog Analyzer統合が完了します。これで、リモートセッションをPAM360から起動する場合、,すべてのイベントはアクティビティログ列の[監査] >> [記録した接続]で記録されます。

注記:

  • EventLog Analyzer統合が[管理者] >> [統合] >> [ManageEngine]で有効になったら、EventLog AnalyzerのSIEM統合も、[管理者] >> [統合] >> [SIEM 統合]で自動的に有効になります。これは、PAM360のすべてのログ詳細がEventLog Analyzerにsyslogの形で送信されていることを確認するためです。 
  • EventLog Analyzer統合がスムースに作動していることを確認するため、SIEMのEventLog Analyzerとの統合を常に有効にしておくことを推奨します。
  • SIEM統合についての詳細は、ここをクリックしてください。

5.1 アラート通知をEventLog Analyzerでどのようにセットアップしますか?

PAM360に関連するアクティビティのアラートは、お使いのPAM360 Serverに未承認ログインの問題が生じる場合に必ず、メールまたはSMSで届きます。PAM360-EventLog Analyzer統合が完了したら、アラートの構成を開始します。ただし、アラートは、EventLog Analyzerコンソールからのみ構成できますので、注意してください。新しいアラートプロファイルを作成し、環境設定を指定します。詳しい手順は次の通りです:

  1. [Log360] >> [EventLog Analyzer]の順に移動し、アラートタブに切り替えます。
  2. 新しいプロファイルを追加するには、右端上の[+追加]をクリックし、[構成] >> [アラート]の順にクリックします。
  3. ここで、名前を入力し、重大度を選択して、必要なデバイスを選択します。
  4. アラートを選択オプションで、[カスタムアラート]タブをクリックします。
  5. 利用可能な泥プダウンを使って、以下の基準を指定します:

ソースデバイスはpam360-server(PAM360 Serverの名前を選択)と等しくない

+

ログインタイプ 10と等しい

+

イベントID4624と等しい(このIDは未承認ログインを示します)

指定基準は以下のようになります:ルール基準 = (ソースホスト:pam360-server)と(ログオンタイプ:10)および(イベントID:4624)

  1. [保存]をクリックして、基準を保存します。
  2. アラート通知で、希望する通知設定を選択します。これらの設定に基づいて、未認証ログインがPAM360 Serverで検出された場合は必ず、メールまたはSMSから、アラートが届きます。アラートにワークフローを呼び出すには、[ワークフロー]タブをクリックし、事前定義したワークフローをドロップダウンから選択し、管理者またはオペレーターに割り当てます。[プロファイルを保存]をクリックして、すべてのアラート設定を保存します。

アラートプロファイルの作成が完了します。これで、選択した基準に関連したすべてのアラートがアラートタブに一覧表示されます。

アラートプロファイルの作成についての詳細は、ここをクリックしてください。EventLog Analyzerでの新しいワークフローの作成についての詳細は、ここをクリックしてください。

6.トラブルシューティングのヒント

  1. アクティビティログがキャプチャ荒れない場合、PAM360 Serverとリモートマシンの間の時差をチェックしてください。リモートマシンの時間は、PAM360 Serverの時間と同じか、遅れている必要があります。
  2. 統合がすべて適切でも、相関がデータを収集していない場合、Syslog値をチェックし、セッション開始セッション終了ログがPAM360からキャプチャされているか確認してください。
  3. ELAのPAM360セッションでデータが表示されていない場合、ELAに表示されるリモートサーバー名をチェックしてください。リモートサーバー名は、PAM360のリソースのDNS名と同じである必要があります。

関連項目: