特権セッション記録

  1. 概要
  2. セッション記録の構成
  3. 記録したセッションの表示
  4. セッション記録の分割
  5. セッションシャドウイング/リアルタイムセッション監視

1.概要

PAM360から起動した特権セッションを記録、再生、およびアーカイブ格納してフォレンジック監査をサポートし、特権セッション中に特権アカウントが実行したすべての操作をエンタープライズが監視することができます。セッション記録は、アクティビティの先行監視が必須な組織の監査およびコンプライアンス要件に対応することで、管理者は、特権アクセスを「誰が」、「何を」および「いつ」したかの質問にすぐに答えます。PAM360を使って、PAM360インターフェイスから起動したWindows RDP、SSH/Telnet、およびSQLセッションを記録できます。

1.1 セッション記録はどのくらい安全ですか?

PAM360は、セッション記録プロセスにファースト・イン・クラスのブラウザベースのリモートログインメカニズムを採用しています。ユーザーは、追加プラグインまたはエージェントソフトウェアを導入しなくても、 HTML5対応ブラウザから、高度で安全、信頼性が高く、完全にエミュレートされたWindows RDP、SSHおよびTelnetセッションをワンクリックで開始することができます。リモート接続は、PAM360 Serverからトンネリングしているため、ユーザーデバイスとリモートホストの間で直接接続は不要です。優れた信頼性に加え、トンネリング接続により、リモートセッションの確立に必要なパスワードがユーザーブラウザでは不要になるため、セキュリティが格段に強化されます。セッション記録機能は、PAM360の強力なリモートログインメカニズムを拡張したものです。

PAM360には、RDP, SSHとTelnetセッションゲートウェイがバンドルされています。このため、ユーザーは、PAM360 Serverからトンネリングされる各自ブラウザから、リモート端末セッションを起動できます。リモート端末セッションはブラウザ画面自体でエミュレートされるため、プラグインやエージェントをエンドポイントにインストールする必要はありません。唯一の要件は、ブラウザがHTML5と互換性があることです (例えば、IE 9以降、Firefox 3.5以降、Safari 4以降、Chrome)。

2.セッション記録の構成

リモートセッション記録の構成方法は2つあります:

  1. 個別リソース向けのセッション記録の構成
  2. セッション記録のグローバル構成

2.1 個別リソース向けのセッション記録の構成

  1. [リソース]タブに移動し、セッション記録を構成するリソースを削除します。
  2. [リソース操作] >> [構成] >> [セッション記録]の順に進みます。
    session-recording
  3. 開いたポップアップフォームで、[RDPセッションを記録]および/または[SSH、TelnetおよびSQLセッションを記録]を必要に応じて選択し、[保存]をクリックします。
    session-recording

メモ:記録はデフォルトでは、パス<PAM360_Install_Directory\PAM360\recorded_files>に保存されます。記録を保存するこの外部の場所は、[管理者] >> [構成] >> [セッション記録]の順に移動し、いつでも変更できます。

2.2 セッション記録のグローバル構成

  1. [管理者] >> [構成] >> [セッション構成]の順に移動します。
  2. 表示されるポップアップフォームで、
    1. オプション[RDPセッションを記録]および/または[VNCセッションを記録]および/または[SSH、TelnetおよびSQLセッションを記録]を必要に応じて、選択します。
    2. セッション記録ステータスをセッションウインドウで表示するバイは、チェックボックス - [セッションのセッション記録ステータスを表示]タブを選択します。
    3. 有効なパスを入力し、記録したセッションを記録したセッションの外部場所に保存します。記録を保存するバックアップディレクトリも設定することができます。この場合、記録したファイルが両方の場所に保存されます。
    4. 指定した日数以前の記録をパージするには、__日以前の[記録したセッションをパージ]で数字を入力します。テキストフィールドを空にするか、値に0を入力して、パージを無効にできます。
    5. チェックボックス - [セッションの開始時にウェルカムメッセージを表示]を選択し、下のテキストフィールドに表示するメッセージを入力します。テキストフィールドの上限は4000文字で、インファインスタイルでCSSをサポートしています。このように、希望の場合、ウェルカムメッセ^時を有効および無効にできます。
    6. [保存]をクリックして変更を保存します。

      メモ:MSPの場合は、各クライアントORGアカウントに個別に、上の設定を適用する必要があります。

  3. これで、セッション記録機能は、これらのリモート端末セッションタイプ(RDP、SSH、Telnet)の1つをサポートするリソースを管理者が追加するとすぐに、利用できるようになります。
    session-recording

3.記録したセッションの表示

下の手順にしたがって、PAM360インターフェイスの監査タブから、記録したセッションを表示します。リソース名、セッションを立ち上げたユーザー、またはセッションを立ち上げた時間等、詳細を使って、セッションを追跡することができます。

  1. [監査] >> [記録した接続]の順に移動します。
  2. 表示する記録したセッションで、[再生]をクリックします。記録したセッションを表示しているとき、[探す]バーをくりっくして、記録と進捗部分をスキップします。
    session-recording

4.セッション記録の分割

PAM360には、リモートセッションから取得したセッション記録ファイルをいくつかの小さいファイルに分割し、個別に暗号化するプロビジョンがあります。このオプションは、サイズが10 MB以上のセッション記録ファイルに適用されます。デフォルトでは、PAM360は、ローカルストレージに保存されているすべてのセッション記録を暗号化します。非常に大きなファイルサイズを長時間記録する場合、暗号化が失敗する可能性があります。そのため、そのような記録は、サイズが10 MBを超えないような塊に分割して保存されます。PAM360は、分割部分が正常に暗号化され保存されていることを確認します。記録は、複数のファイルで保存されますが、再生中は単一ファイルとして再生されます。正常な暗号化以外に、セッション分割により、バッファ時間なしでスムースに再生できるようにもなります。

例:
25 MBファイルサイズのセッション記録を考えてみます。PAM360は、このファイルを10 MB、10 MB、および5 MBのサイズの3つのファイルに分割します。

デフォルトでは、セッション分割オプションは、PAM360では無効になっています。一般設定ドキュメントに記載の手順にしたがって、セッション分割を有効にします。このオプションが無効のままになっていると、PAM360は、すべてのセッション記録を単一ファイルとしてのみ保存しますので、注意してください。

    注記:

    1. セッション分割は、レガシーSSHおよびTelnetセッションでのみ機能します。
    2. このオプションは、RDP、VNC、およびSSHセッションの場合は、ビデオベースで、PAM360はビデオベースの記録を暗号化しないため、機能しません。PAM360は、これらのセッション記録をビデオファイルとしてが外部ストレージに保存します。ただし、これらのファイルは、標準メディアプレイヤーを使って、PAM360インターフェイスの外で再生することはできません。

5.セッションシャドウイング/リアルタイムセッション監視

PAM360では、管理者は、機密性が高いITリソースの特権セッションを監視できます。セッションシャドウイングでは、管理者は、アクティブセッションに加入、ユーザーアクティビティを並列に観察、および疑わしいアクティビティの場合は終了することができます。管理者は、トラブルシューティングセッション中、ユーザーアクティビティを監視しながら、ユーザーに支援をすることができます。

5.1 セッションの並列監視

  1. [監査] >> [アクティブ特権セッション]の順に移動します。
  2. リソースの名前から監視するセッションを追跡します。
  3. [参加]ボタンをクリックします。継続中のセッションは、並列表示できます。

5.2 疑わしいセッションの終了

  1. [監査] >> [アクティブ権限付きセッション]の順に移動します。
  2. リソースの名前から監視するセッションを追跡します。
  3. [終了] ボタンをクリックします。リモートセッションが終了し、ユーザーは、リモートリソースとの接続がなくなります。
    session-recording

5.3 選択的セッション記録の削除

  1. [監査] >> [記録した接続]の順に移動します。
  2. 削除するセッションを選択し、続いて、削除列でその横にある[削除]アイコンをクリックします。
  3. 下で示したとおり、セッションの記録または特定セッションのチャットログの削除を選択することができます:
    session-recording

    4. メモ:選択的セッションをPAM360データベースから削除するには、あなた自身を含む、少なくとも2人のアクティブ管理者が必要です。これは、適切な確認なしで、重要なセッションが削除されないようにするためです。


  4. チャットログまたはセッション記録の削除を選択した場合、ダイアログボックスが表示され、下のように操作を確認することが求められます。
    session-recording
    session-recording
  5. 他の管理者は通知を受け、承認要求が送信されます。この判断を承認または拒否できます。削除プロセスには、2人の管理者の同意が必要です。すなわち、あなた以外の管理者が承認する場合、他の管理者(いる場合)の承認には関係なく、削除が行われますので、注意してください。
  6. 下の説明のとおり、セッションファイルがシステム内にあるkまたは外部デバイスにあるかの判断により、削除が行われます:
    • シナリオ1:ファイルがシステム内にある場合、PAM360は、要求が別の管理者により承認されると、記録を削除します。
    • シナリオ 2: このプロセス中、記録が外部デバイスにあり、PAM360にはない場合、PAM360は、システムスケジューラを実行して、これらのファイルを削除します。この場合、ファイルは、スケジューラが実行されたとき、セッション記録を含む外部デバイスがPAM360 Serverに接続されている場合のみ削除されます。 

    7. メモ:記録の削除が承認されても、その操作が上のシナリオ2で説明されたとおりにまだ実行されていない場合、PAM360は、削除されるまでビデオ記録を一時無効にするため、管理者を含む誰も表示することはできません。