PAM360のMicrosoft Sentinelとの統合
ManageEngineの統一特権アクセス管理製品のPAM360は、Microsoftのクラウドネイティブのセキュリティ情報およびイベント管理(SIEM)ソリューションのMicrosoft Sentinelと統合されます。これは、Splunk, ManageEngine EventLog Analyzer、およびSumo Logic等、サードパーティSIEM solutionsソリューションとすでに利用可能な統合に加わります。
本書の終わりには、以下について学ぶことになります:
- 統合の主な利点
- PAM360ワークスペースのMicrosoft Sentinelでの構成
- Microsoft Sentinel統合をPAM360で有効化
- PAM360ログのMicrosoft Sentinelでの表示
- トラブルシューティングのヒント
1.統合の主な利点
PAM360の幅広い監査機能には、リソース、パスワード、およびユーザーの監査ログのリアルタイム収集および処理が含まれます。本製品では、監査タグから個別イベント向けに通知を個別設定できます。
PAM360-Microsoft Sentinelの統合により、PAM360は、詳細ログをSIEMツールにsyslogとして送信することで、PAM360監査証跡をMicrosoft Sentinelインターフェイスで表示できます。上記のSIEMツール以外に、監査ログの収集を行う、他のログ管理ツールをセットアップできます。複数のログ管理ツールの同時構成が可能です。
2.PAM360ワークスペースのMicrosoft Sentinelでの構成
前提条件
- PAM360 Serverに、syslogをMicrosoft Sentinelに送信するインターネット接続があることを確認してください。
- この統合には、Microsoft Sentinelにワークスペースが必要です。まだない場合は、PAM360用に新しいワークスペースを作成します。新しいワークスペースの作成方法について詳細は、本書を参照してください。
- Microsoft Azureポータルにログインします。Azure Servicesで、[Microsoft Sentinel]をクリックします。
- 新しく作成したワークスペースを開きます。左ペインの構成で、[データコネクタ]をクリックします。
- データコネクタのリストが右に表示されます。"syslog"を右の検索バーに入力します。[Syslog]コネクタをクリックし、[コネクタを開く]ページオプションを使って開きます。
- Syslog構成ページが開きます。この構成には、2つの手順があります。手順2収集するログを構成で、リンクワークスペースエージェント構成を開くをクリックします。
- レガシーエージェント管理ページで、権限レベルのリストがファシリティに一覧表示されます。Syslogにファシリティを追加します。すべてのチェックボックスを選択して、権限を付与し、[適用]をクリックします。
- Syslog構成ページに戻ります。手順1で、リンク非Azure Linuxマシン向けのエージェントをダウンロードおよびインストールをクリックします。エージェント管理ページに転送され、ワークスペースIDとプライマリおよびセカンダリキーをログアナリティクスエージェントの使い方メニューで探すことができます。
- ワークスペースIDとキーは、PAM360で統合の完了に必要なため、安全な場所にコピーおよび保存します。
注記:
PAM360のワークスペースがMicrosoft Sentinelポータルで正常に構成されました。
3.Microsoft Sentinel統合をPAM360で有効化
下の手順にしたがって、Microsoft Sentinel構成をPAM360で完了します。
- PAM360インターフェイスで、[管理者] >> [統合] >> [SIEM統合]の順に移動します。
- Microsoft Sentinelで、[有効化]をクリックします。表示されるダイアログボックスで、Microsoft SentinelポータルからコピーしたワークスペースIDを入力します。
- 共有キーフィールドで、Microsoft Sentinelポータルから取得したプライマリまたはセカンダリキーを入力し、[有効化]をクリックします。
- 確認ダイアログボックスで、[有効化]をもう一度クリックします。
統合プロセスはこれで完了です。PAM360でキャプチャされるすべての監査証跡は、Microsoft Sentinelポータルに転送されます。
4.PAM360ログのMicrosoft Sentinelでの表示
PAM360ログをMicrosoft Sentinelで表示するには、Microsoft Sentinelポータルに進みます。
- 左ペインで、[全般] >> [ログ]の順に移動します。
- カスタムログメニューを拡大し、PAM360のカスタムログが名前PAM360_CLで作成されているか確認します。
- カスタムログをダブルクリックすると、端末の右にコマンドが表示されます。カスタムログコマンドにセミコロンを追加します:PAM360_CL;
- 必要な時間範囲を選択し、上部の[実行]オプションをクリックします。
- これで、選択した時間範囲にPAM360でキャプチャしたすべてのログが下に表示されます。
- 必要な場合、[エクスポート]オプションを使って、ログをCSV形式でエクスポートします。
5.トラブルシューティングのヒント
統合の完了後も、PAM360ログがMicrosoft Sentinelポータルで表示できない場合は、下の手順を試してください:
- PAM360 Serverがあるマシンにインターネット接続があることを確認します。
- 統合の構成中にプライマリキーを使用した場合、構成詳細を編集し、セカンダリキーを共有キーフィールドに入力して、変更を保存します。両方のキーとも機能しない場合は、[再生成]オプションを使って、新しいキーを再生成し、構成を再試行してください。参照は、セクションに移動します。
- syslog権限が[レガシーエージェント管理] >> [ファシリティ]で有効になっているかチェックします。参照は、セクションに移動します。
- [Syslogを生成]オプションが[監査を構成の.PAM360インターフェイスで有効かチェックします。
- 統合がPAM360で有効になった後、[設定] >> [カスタムログ]のSentinelポータルで自動生成されるカスタムフィールドを削除していないことを確認します。カスタムフィールドを削除した場合は、新しいワークスペースで統合を再構成して、ログを表示します。