PAM360のMicrosoft Sentinelとの統合

ManageEngineの統一特権アクセス管理製品のPAM360は、Microsoftのクラウドネイティブのセキュリティ情報およびイベント管理(SIEM)ソリューションのMicrosoft Sentinelと統合されます。これは、Splunk, ManageEngine EventLog Analyzer、およびSumo Logic等、サードパーティSIEM solutionsソリューションとすでに利用可能な統合に加わります。

本書の終わりには、以下について学ぶことになります: 

  1. 統合の主な利点
  2. PAM360ワークスペースのMicrosoft Sentinelでの構成
  3. Microsoft Sentinel統合をPAM360で有効化
  4. PAM360ログのMicrosoft Sentinelでの表示
  5. トラブルシューティングのヒント

1.統合の主な利点

PAM360の幅広い監査機能には、リソース、パスワード、およびユーザーの監査ログのリアルタイム収集および処理が含まれます。本製品では、監査タグから個別イベント向けに通知を個別設定できます。

PAM360-Microsoft Sentinelの統合により、PAM360は、詳細ログをSIEMツールにsyslogとして送信することで、PAM360監査証跡をMicrosoft Sentinelインターフェイスで表示できます。上記のSIEMツール以外に、監査ログの収集を行う、他のログ管理ツールをセットアップできます。複数のログ管理ツールの同時構成が可能です。

2.PAM360ワークスペースのMicrosoft Sentinelでの構成

前提条件

  1. PAM360 Serverに、syslogをMicrosoft Sentinelに送信するインターネット接続があることを確認してください。
  2. この統合には、Microsoft Sentinelにワークスペースが必要です。まだない場合は、PAM360用に新しいワークスペースを作成します。新しいワークスペースの作成方法について詳細は、本書を参照してください。
  1. Microsoft Azureポータルにログインします。Azure Servicesで、[Microsoft Sentinel]をクリックします。
  2. 新しく作成したワークスペースを開きます。左ペインの構成で、[データコネクタ]をクリックします。
  3. データコネクタのリストが右に表示されます。"syslog"を右の検索バーに入力します。[Syslog]コネクタをクリックし、[コネクタを開く]ページオプションを使って開きます。
  4. Syslog構成ページが開きます。この構成には、2つの手順があります。手順2収集するログを構成で、リンクワークスペースエージェント構成を開くをクリックします。
  5. レガシーエージェント管理ページで、権限レベルのリストがファシリティに一覧表示されます。Syslogにファシリティを追加します。すべてのチェックボックスを選択して、権限を付与し、[適用]をクリックします。
  6. Syslog構成ページに戻ります。手順1で、リンク非Azure Linuxマシン向けのエージェントをダウンロードおよびインストールをクリックします。エージェント管理ページに転送され、ワークスペースIDとプライマリおよびセカンダリキーをログアナリティクスエージェントの使い方メニューで探すことができます。
  7. ワークスペースIDとキーは、PAM360で統合の完了に必要なため、安全な場所にコピーおよび保存します。
  8. 注記:

    1. PAM360 - Microsoft Sentinel統合には、Azure agents, エージェントは必要ないため、エージェント管理ページからダウンロードする必要がありませんので、注意してください。
    2. ワークスペースIDとプライマリ/セカンダリキーは、[設定] >> [エージェント管理]の順に移動して、取得することもできます。ここで、ログアナリティクスエージェントの使い方メニューを拡大し、必要な情報を表示します。

PAM360のワークスペースがMicrosoft Sentinelポータルで正常に構成されました。

3.Microsoft Sentinel統合をPAM360で有効化

下の手順にしたがって、Microsoft Sentinel構成をPAM360で完了します。

  1. PAM360インターフェイスで、[管理者] >> [統合] >> [SIEM統合]の順に移動します。
  2. Microsoft Sentinelで、[有効化]をクリックします。表示されるダイアログボックスで、Microsoft SentinelポータルからコピーしたワークスペースIDを入力します。
  3. 共有キーフィールドで、Microsoft Sentinelポータルから取得したプライマリまたはセカンダリキーを入力し、[有効化]をクリックします。
  4. 確認ダイアログボックスで、[有効化]をもう一度クリックします。

統合プロセスはこれで完了です。PAM360でキャプチャされるすべての監査証跡は、Microsoft Sentinelポータルに転送されます。

4.PAM360ログのMicrosoft Sentinelでの表示

PAM360ログをMicrosoft Sentinelで表示するには、Microsoft Sentinelポータルに進みます。

  1. 左ペインで、[全般] >> [ログ]の順に移動します。
  2. カスタムログメニューを拡大し、PAM360のカスタムログが名前PAM360_CLで作成されているか確認します。
  3. カスタムログをダブルクリックすると、端末の右にコマンドが表示されます。カスタムログコマンドにセミコロンを追加します:PAM360_CL;
  4. 必要な時間範囲を選択し、上部の[実行]オプションをクリックします。
  5. これで、選択した時間範囲にPAM360でキャプチャしたすべてのログが下に表示されます。
  6. 必要な場合、[エクスポート]オプションを使って、ログをCSV形式でエクスポートします。

5.トラブルシューティングのヒント

統合の完了後も、PAM360ログがMicrosoft Sentinelポータルで表示できない場合は、下の手順を試してください:

  1. PAM360 Serverがあるマシンにインターネット接続があることを確認します。
  2. 統合の構成中にプライマリキーを使用した場合、構成詳細を編集し、セカンダリキーを共有キーフィールドに入力して、変更を保存します。両方のキーとも機能しない場合は、[再生成]オプションを使って、新しいキーを再生成し、構成を再試行してください。参照は、セクションに移動します
  3. syslog権限が[レガシーエージェント管理] >> [ファシリティ]で有効になっているかチェックします。参照は、セクションに移動します
  4. [Syslogを生成]オプションが[監査を構成の.PAM360インターフェイスで有効かチェックします。
  5. 統合がPAM360で有効になった後、[設定] >> [カスタムログ]のSentinelポータルで自動生成されるカスタムフィールドを削除していないことを確認します。カスタムフィールドを削除した場合は、新しいワークスペースで統合を再構成して、ログを表示します。

参照: