PAM360のManageEngine Log360 UEBAとの統合

本書では、PAM360のManageEngine Log360 UEBAとの統合プロセスについて説明します(ユーザーおよびEntity Behavior Analytics)。

本書の終わりには、以下について学ぶことになります:

  1. 統合の主な利点
  2. 統合はどのように機能しますか?
  3. 統合を実行するための前提条件
  4. 統合をPAM360で構成する手順
  5. Log360 UEBAレポートをPAM360でどのように表示しますか?
  6. 重要検討ポイント

1.統合の主な利点

ManageEngine PAM360は、リスクスコア、異常トレンド、および監査レポートを使って、監査ログを分析および異常挙動を検出する機械学習ベースのアドオンであるManageEngine Log360 UEBAと統合されます。PAM360-Log360 UEBA統合では、PAM360のAdvanced Analyticsタブ内のリソースとユーザー監査トレイルを統合および可視化できます。

2.統合はどのように機能しますか?

Log360 UEBAは、PAM360からサーバー詳細とログイン認証情報を使って、APIからデータを取得します。PAM360の監査トレイルは、一定間隔でLog360 UEBAに送信され、より分かりやすいようにグラフで可視化されます。統合が完了したら、パターンとユーザー挙動を使って解釈した監査と異常レポートとして、リソースと監査データを分離して、PAM360ユーザーインターフェイスから直接表示できます。

    メモ:PAM360 - Log360 UEBA統合は、Log360 UEBAビルド4023およびそれ以上でのみ機能します。

3.統合を実行するための前提条件

統合を開始する前に、下に記載の手順にしたがって、前提条件を満たしてください。

3.1 HTTPS接続をLog360 UEBAで有効化

接続タイプをLog360 UEBA ServerのHTTPSに変更します。統合は、PAM360がHTTPSを使って、リモート接続をするため、HTTPS接続としてのみ機能します。Log360 UEBA Serverの接続タイプの変更方法についての詳細は、ここをクリックしてください。接続タイプを変更したら、本書に記載の手順にしたがって、SSL証明書をLog360 Serverで生成および適用します。

3.2 SSL証明書のPAM360 Serverへのインポート

HTTPSが有効になったら、有効なSSL証明書をPAM360にインポートします。次の手順に従ってください:

  1. PAM360 Serviceを停止します。
  2. コマンドプロンプトを開き、"<PAM360_Installation_Folder>/bin"ディレクトリに進みます。
  3. 次のコマンドを実行します:
    importCert.bat <Log360 UEBA Serverが使用する証明書のパス>
  4. PAM360サービスを再起動します。

3.3 Log360 UEBA Analyticsをユーザーロールで有効化

Log360 UEBA Analyticsロールがあるユーザーにのみ、Log360 UEBAオプションがManageEngine統合に表示されます。.デフォルトでは、このロールは、すべての管理者ユーザーに有効になっています。Log360 UEBAダッシュボードへのアクセスが必要なカスタムユーザーロールがある場合、下の手順にしたがって、アクセスできます:

  1. [管理] >> [カスタマイズ] >> [役割]に移動します。
  2. [ロールを追加]をクリックして、カスタムロールを作成します。
  3. [ロールを追加]ダイアログボックスで、アナリティクスタブをクリックし、チェックボックス[ManageEngine Log360 UEBA]を選択します。このオプションを有効にすると、[ManageEngine統合]オプションも自動的に有効になります。これで、このカスタムロールをユーザーに割り当てると、[管理者] >> [統合] >> [ManageEngine]でLog360 UEBAにアクセスできます。.

4.統合をPAM360で構成する手順

PAM360コンソールで、下の手順にしたがって、統合を有効にします:

  1. [管理者] >> [統合] >> [ManageEngine]の順に移動します。PAM360で統合されたすべてのManageEngine製品の統合ビューが表示されます。

    2. "ManageEngine統合"ロールのユーザーのみ、ManageEngineオプションが統合に表示されます。

    ボタンと定義:

    Sl.No: ボタン 定義

    1

    有効化

    統合が無効になっている場合、このオプションが表示されます。このボタンをクリックして、Log360 UEBA Serverの必要な詳細を入力し、統合を有効にします。

    2

    編集

    統合が有効になっている場合、このオプションが表示されます。このボタンをクリックして、Log360 UEBAホスト名とポート詳細を更新します。

    3

    無効化

    統合が有効になっている場合、このオプションが表示されます。統合を無効にするには、このボタンをクリックします。
  2. ManageEngine Log360 UEBAで、[有効化]をクリックします。開いたLog360 UEBA統合ダイアログボックスでは、以下の詳細は必須です:
    1. ホスト名 - Log360 UEBAが実行されているホストマシン。
    2. ポート - Log360 UEBAがリッスンしているポート番号。

認証パスワードを入力する前に、以下の2つのケースを検討します:

ケース1:PAM360とLog360 UEBAサーバーの両方が同じマシンにある

ケース2:PAM360とLog360 UEBAサーバーが別のマシンにある

ケース1:PAM360とLog360 UEBAサーバーの両方が同じマシンにある

PAM360とLog360 UEBAサーバーの両方が同じマシンにある場合、認証パスワードは必要ありません。この場合は、以下のとおりにします:

  1. ホスト名ポートを入力します。
  2. 認証が必要オプションにはチェックを入れないままにして、[有効化]をクリックします。
    3. ueba

ケース 2: PAM360とLog360 UEBAサーバーが別のマシンにある

PAM360 ServerとLog360 UEBA Serverが別のマシンにある場合、認証パスワードは必須です。この場合は、以下のとおりにします:

  1. ホスト名ポートを入力します。
  2. [認証が必要]チェックボックスを選択し、パスワードを入力します。このパスワードは、Log360 UEBAが実行されているサーバーのログインパスワードです。
  3. [有効にする]をクリックします。
    4. ueba

    注記:この統合は、ユーザー名「admin」でのみ機能します。これは、Log360 UEBAスーパー管理者アカウントのデフォルトユーザー名です。現時点で、Log360 UEBAは、Active DirectoryユーザーとカスタムユーザーがLog360 UEBAにあるPAM360統合をサポートしていません。

統合が完了しました。現在、PAM360のすべての既存監査トレイルは、Log360 UEBAにすぐに送信されます。これは、一回限りの操作です。この後、監査データは1時間ごとにPAM360から送信されます。現時点で、この統合は、PAM360の2つのタイプの監査データのみをサポートしています:リソース監査ユーザー監査。

ケース2が適用される場合、Log360 UEBAレポートダッシュボードは、Google ChromeとMicrosoft Edgeブラウザでは想定どおり機能しない場合があります。それらのブラウザのいずれかを使用している場合は、下記の対応手順のいずれかにしたがってください:

対応方法1:

完全修飾ドメイン名(FQDN)をホスト名としてこの手順で入力します。

FQDNの例: [hostname].[domain].[top level domain]

対応方法2:

Google ChromeまたはMicrosoft Edgeブラウザで下の手順に従います:

  1. 新しいタブを開き、chrome://settings/に進みます。ここで、[Cookieと他のdサイトデータをクリックし、[すべてのCookieを許可]オプションを選択します。
  2. 新しいタブを開き、chrome://flags/に進みます。検索バーで、「samesite」を入力します。[デフォルトCookieでは同じサイト]オプションを、横にある[無効]をドロップダウンから選択肢て、無効にします。
  3. ブラウザを再起動します。

5.Log360 UEBAレポートをPAM360でどのように表示しますか?

統合が完了したら、下の手順にしたがって、Log360 UEBAレポートをPAM360で表示します:

  1. Advanced Analyticsタブに移動します。
  2. 左ペインの[ManageEngine Log360 UEBA]をクリックします。ここで、[リソース異常]または[ユーザー異常]を選択します。選択ごとに、リソースとユーザー監査レポートの分析が右のダッシュボード領域に表示されます。ダッシュボードについての詳細は、ここをクリックしてください。
  3. Log360 UEBAダッシュボードは、以下のブラウザで正常に機能します:IE 11以上、Mozilla Firefox 4以上、Microsoft Edge、およびGoogle Chrome。

ケース2に手順を適用した場合、Log360 UEBAレポートダッシュボードは、Google ChromeおよびMicrosoft Edgeブラウザで想定どおり機能しない場合があります。ここをクリックします対応手順について詳細.

6.重要検討ポイント

  1. 現時点では、Log360 UEBAには、別のPAM360 Serverからデータを個別レポートして分離するプロビジョンがないため、PAM360 Server1基とLog360 UEBA Server1基のみ統合できます。そのため、不複数のPAM360サーバーを1基のLog360 UEBA Serverと統合しようとすると、データが損失される可能性があります。
  2. Log360 UEBAに送信されるすべての監査トレイルは、Log360 UEBA Serverに保存され、永久にそのまま保存されます。PAM360で監査レコードをパージすると、Log360 UEBAに保存されたデータは削除されます。
  3. 統合が有効になると、PAM360のすべての既存監査データは、Log360 UEBAにすぐに送信されます。初回レポート以降、監査データは、PAM360から1時間ごとに送信されます。
  4. Log360 UEBA Serverライセンスの有効期限が切れ、フリーエディションに移行した場合、Log360 UEBAは、PAM360から監査トレイルを取り込むを停止します。この結果、PAM360のLog360 UEBAダッシュボードには、新しいレポートは表示されなくなります。ただし、ライセンスの有効期限切れ前に生成された異常レポートは、統合が手動で無効にされないかぎり、PAM360にそのまま残ります。
  5. 監査トレイルがPAM360でどのように記録されるか構成するには、[監査]タブに進み、[監査操作] >> [リソース監査を構成]または[ユーザー監査を構成]の順にクリックします。リソースとユーザー監査タイプに適用された構成設定は、Log360 UEBAに送信された監査データに適用されます。ただし、Log360 UEBAに送信された監査ログ後阿プをPAM360の監査トレイルへの記録方法に影響を与えずに制御することはできません。

PAM360の監査についての詳細は、ここをクリックしてください。

関連項目: