SIEM の統合の概要

Security Information and Event Management (SIEM) ソリューションを使用していて、他のソースからのイベントに加えて Absolute のイベントも SIEM アプリケーションで表示して分析したい場合、Absolute SIEM Connector を使用して、2 つのシステム間の統合を設定することができます。

SIEM Connector は、 syslog プロトコル さまざまな種類のシステムからのイベントデータを、標準化されたフォーマットで中央レポジトリーに転送できるようにするプロトコル。 を使用してイベントを SIEM アプリケーション (RSA® Security Analytics、HP ArcSight、 Splunk® など) に送信します。Absolute で記録されるイベントや、履歴エリアのイベントページに表示されるイベントを送信するように SIEM Connector を設定することができます。

記録済みイベントのリスト

Security information and event management (SIEM) ソリューションは、複数のソフトウェアプログラムから記録されたイベントを収集し、それらを中央レポジトリーに保存して連結されたレポートを作成し、分析を行います。その後、組織はシステム全体のセキュリティイベントを監視し、それらをインシデント対応、フォレンジック、規制コンプライアンスに使用できます。

Absolute の SIEM 統合は、Absolute SIEM Connector をネットワーク内のコンピューターにインストールすることで作成されます。SIEM Connector は、REST リクエストを Absolute Gateway Server に送信する Windows サービスを、Absolute データベースからイベントデータを取得するように設定します。その後、イベントは syslog メッセージで SIEM の syslog サーバーに転送され、SIEM ユーザーがこれらのイベントを、システム内の他のイベントと一緒に表示、分析、レポートできるようにします。

インストール後、SIEM Connector は過去 72 時間で記録されたすべての該当するイベントを取得し、それらを syslog サーバーに送信します。その後 SIEM Connector は、SIEM Connector で設定された間隔で新しいイベントを取得します。間隔は 5 分から 24 時間の間で設定できます。デフォルト値は 60 分です。

SIEM Connector のインストールにトリガーされたイベントデータを表示するには、Secure Endpoint Console にログインし、ナビゲーションバーで履歴 > イベントをクリックします。

SIEM Connector は、以下のパラメーターを含む syslog イベントメッセージを送信します。

パラメーター データタイプ 説明
日付 DateTime

イベントが発生したタイムスタンプ

日付と時刻は UTC でフォーマットされます。<年年年年>-<月月>-<日日> <時時>:<分分>:<秒秒>

例:2020-01-26 04:44:45 UTC

このフィールドは、 > イベントの「日付」列に対応します。
eventType 文字列

発生したイベント

このフィールドは、 > イベントの「イベント」列に対応します。
actorType 文字列

イベントを引き起こしたエンティティのタイプ、ユーザーデバイス、またはシステムなど
actorName 文字列

ユーザーのユーザー名など、アクションの実行者の名前

このフィールドは、 > イベントの「概要」列の一部です。
actorId 文字列

アクションの実行者に関連付けられた一意の ID
objectType 文字列

アクションの実行者がイベントによって影響を与えることを意図する主なエンティティ
objectName 文字列

オブジェクトの表示名

このフィールドは、 > イベントの「概要」列の一部です。
objectId 文字列

オブジェクトに関連付けられた一意の ID
objectProperties 文字列

変更されたオブジェクトプロパティ

以下のいずれかの形式のタプルのリストを含みます:

  • propertyName、oldValue、newValue
  • フィールド、値
verb 文字列 オブジェクトで発生したイベント
secondaryObjectType 文字列 アクションの実行者がイベントによって影響を与えることを意図する二次エンティティ
secondaryObjectName 文字列 二次オブジェクトの名前
secondaryObjectId 文字列 二次オブジェクトに関連付けられた一意の ID

Syslog メッセージ例

以下の syslog メッセージは、ユーザー名 [email protected] がスクリプト実行リクエストをデバイス WIN10_12567 に送信し、Add File / Folder Permissions スクリプトを実行させる Absolute イベントを表しています:

Mar 4 18:31:34 10.55.12.135 1 "2024-07-06 02:31:35 UTC" COM102352.company123.com AbsoluteSIEMConnector 11756 Absolute.Events - CEF:0 "Absolute Software" AbsoluteSIEMConnector 3.0 date="2024-07-05 02:30:53 UTC" eventType="ScriptRequested" actorType="User" actorName="[email protected]" actorID="511073d2-d5be-4014-a6ed-650dcc1d5c58" objectType="Device" objectName="WIN10_12567" objectID="de94fa2d-0ded-4c86-9740-e955c6ec1cc1" objectProperties="PropertyName=ScriptName;OldValue=;NewValue=Add File / Folder Permissions;" verb="Requested" secondaryObjectType="Request" secondaryObjectName="Request" secondaryObjectID="4478f8a0-2be1-4a8f-a98e-945cdc22b9c2"

イベントタイプごとに送信される syslog メッセージに関する詳細情報を確認するには、SIEMアプリケーションに記録される Absolute イベントを参照してください。

Absolute から SIEM アプリケーションへのイベントの送信を開始するには、システム管理者など、SIEM 統合の管理権限のあるユーザーが以下のステップを完了する必要があります:

ステップ 1: コンソールから SIEM Connector をダウンロードし、お使いのネットワーク上のコンピューターにインストールします。

ステップ 2: SIEM ソリューションに送信するためのイベントを選択します。

SIEM Event API を使用して、Absolute のイベントを SIEM ソリューションに送信することもできます。この場合、SIEM Connector をダウンロードしてインストールする必要はありませんが、SIEM ソリューションに送信するためのイベントを選択し、統合を有効にする必要があります。もっと見る