ManageEngine PAM360のSIEMツールでの統合

このドキュメントでは、PAM360の各種SIEMツールとの統合プロセスについて説明します。本書の終わりには、以下について学ぶことになります：

統合の主な利点
統合はどのように機能しますか?
- 2.1 PAM360から送信されたSyslogメッセージの形式
SIEMツールを統合およびSyslog収集を構成する手順
- 3.1 Syslogイベント通知のPAM360でのカスタマイズ

1.統合の主な利点

PAM360は、PAM360からリソース、パスワード、およびユーザーの監査ログをリアルタイムで収集および処理するサポートを行い、Syslogとして外部ログ管理システムに送信するＳＩＥＭツールと統合されます。通知を出す個別イベントは、PAM360の監査タブから個別設定できます。

以下は、現在、PAM360と統合してsyslogを収集できるＳＩＥＭツールです：

Splunk
ManageEngine Eventlog Analyzer
Sumoロジック
Microsoft Sentinel
他のSyslogコレクター

上記のSIEMツール以外に、監査ログの収集も行う、他のログ管理ツールをセットアップできます。同時に複数のログ管理ツールを構成できます。

2.統合はどのように機能しますか?

ホスト名やポート等のコレクターホストの詳細が与えられ、統合が有効化されたら、RFC-3164準拠のSyslogメッセージが生成され、構成されたホストとポートに、選択されたプロトコル(TCPまたはUDP)を使って送信されます。デフォルトのファシリティ名は、AUTHですが、リストから、未割当のファシリティ名のいずれかに変更できます。

Splunk：SplunkのPAM360から送信されたｓｙｓｌｏｇデータの表示方法についての詳細は、ここをクリックしてください。
ManageEngine EventLog Analyzer：コレクターホストがPAM360に追加されると、, the PAM360 ＳerverがEventLog Analyzerにデバイスとして自動的に追加されます。構成手順については、ここをクリックしてください。
Sumoロジック：Sumoロジックのコレクターについての詳細は、ここをクリックしてください。
Microsoft Sentinel：Microsoft SentinelのPAM360での詳細構成については、ここをクリックしてください。

2.1 PAM360から送信されたSyslogメッセージの形式

PAM360は、リソース監査とユーザー監査に異なるSyslogメッセージ形式を使用します。RFC-3164準拠のSyslogメッセージは、メッセージ開始時に監査イベントのタイプを示し、続いて操作を行った元のユーザー名とIPアドレスを示します。メッセージには一般的に、操作の種類、タイムスタンプ、およびステータス等の詳細が含まれています。リソースとアカウント名詳細とあわせて、操作が実行されたPAM360 Serverの名前も表示されます。MSPと非MSPのSyslogメッセージの間で大きな違いは、MSP形式には、メッセージにORG_NAMEが含まれることです。

i. MSP用Syslog形式

リソース監査

[ResourceAudit:LOGGED_IN_USERNAME:IPADDRESS] [OPERATION_TYPE] [OPERATED_TIME] [STATUS_OF_OPERATION] [PAM360_SERVER_NAME] [ORG_NAME-RESOURCE_NAME:ACCOUNT_NAME:SHARED_USER:REASON]

ユーザー監査

[UserAudit:LOGGED_IN_USERNAME:IPADDRESS] [OPERATION_TYPE] [OPERATED_TIME] [STATUS_OF_OPERATION] [PAM360_SERVER_NAME] [ORG_NAME-LOGGED_IN_USERNAME:REASON]

ii.非MSP用Syslog形式

リソース監査

[ResourceAudit:LOGGED_IN_USERNAME:IPADDRESS] [OPERATION_TYPE] [OPERATED_TIME] [STATUS_OF_OPERATION] [PAM360_SERVER_NAME] [ORG_NAME-RESOURCE_NAME:ACCOUNT_NAME:SHARED_USER:REASON]

ユーザー監査

[UserAudit:LOGGED_IN_USERNAME:IPADDRESS] [OPERATION_TYPE] [OPERATED_TIME] [STATUS_OF_OPERATION] [PAM360_SERVER_NAME] [LOGGED_IN_USERNAME:REASON]

3.SIEMツールを統合およびSyslog収集を構成する手順

下の手順にしたがって、SIEMツールをPAM360と統合し、syslog収集を構成します。

［管理者］ >> ［統合］ >> ［SIEM統合］ の順に移動します。
表示されるページで、SIEMツールが下のオプションでブロックされる状況が表示されます。これらのオプションは、PAM360と統合する可能性があるSIEMツールのいずれでも、同じです。

ボタンと定義:

Sl.No: ボタン 定義

1

有効化

統合が無効になっている場合、このオプションが表示されます。このボタンをクリックし、SIEMツールの必要な詳細を入力し手、統合を有効にします。

2

編集

統合が有効になっている場合、このオプションが表示されます。このボタンをクリックし、コレクター名、ポート、プロトコルおよびファシリティ名等のSIEMツールの詳細事項を更新します。

3

無効化

統合が有効になっている場合、このオプションが表示されます。統合を無効にするには、このボタンをクリックします。

選択したSIEMツールにある［有効化］をクリックします。一覧表示されたツールがない場合、［その他］にある［有効化］ をクリックして、下の詳細を入力します:
1. コレクターの名前
2. ポート
3. プロトコル(UDP/TCP)
4. ファイシティ名(デフォルトではAUTHが選択されます)
[有効にする]をクリックします。これで、PAM360と、選択したSIEMツールの統合は完了です。

Sl.No:	ボタン	定義
1	有効化	統合が無効になっている場合、このオプションが表示されます。このボタンをクリックし、SIEMツールの必要な詳細を入力し手、統合を有効にします。
2	編集	統合が有効になっている場合、このオプションが表示されます。このボタンをクリックし、コレクター名、ポート、プロトコルおよびファシリティ名等のSIEMツールの詳細事項を更新します。
3	無効化	統合が有効になっている場合、このオプションが表示されます。統合を無効にするには、このボタンをクリックします。

3.1 Syslogイベント通知のPAM360でのカスタマイズ

統合を有効化し、設定を構成した後、syslogメッセージを生成するイベントをカスタマイズできます。

パスワード指向：パスワード関連のsyslogメッセージを生成するには、［グループ］ >> ［（必要なグループの）操作］ >> ［通知を構成］の順に移動し、パスワード関連のオプションに［Syslogメッセージとして送信］を選択します。
操作指向：PAM360内のアカウント操作に関してsyslogメッセージを生成できます。これは、リソース監査とユーザー監査の両方で実行できます。リソース監査用に構成するには、［監査］ >> ［リソース監査］ >> ［監査操作］ >> ［リソース監査を構成］の順に移動します。同様に、ユーザー監査用に構成するには、［監査］ >> ［ユーザー監査］ >> ［監査操作］ >> ［ユーザー監査を構成］の順に移動します。［Syslogを生成］オプションは、すべての操作について選択されます。記録が不要な操作のチェックを外します。

参照：

Microsoft Sentinelとの統合