SIEM アプリケーションとの統合の設定

SIEM アプリケーションでの Absolute のイベントを表示し、分析するには、Absolute SIEM Connector をダウンロードし、インストールして設定します。

SIEM アプリケーションとの統合に関する詳細情報

Absolute SIEM Connector は、以下のオペレーティングシステムを実行するコンピューターにインストールできます:

  • Windows Server®:

    • Windows Server 2022

    • Windows Server 2019

  • Windows:

    • Windows 11 (64-bit)
    • Windows 10 (32- および 64-bit)

次の要件も満たす必要があります。

  • 10MB 以上の空き容量
  • .NET Framework 4.0 以降

Windows または Windows Server では具体的な CPU または RAM 要件はありません。

  • SIEM Connector をインストールする syslog サーバーおよびコンピューターが、同じネットワーク内に存在すること。
  • インターネット接続が利用できること。
  • SIEM Connector をインストールするコンピューターに、.NET Framework 4.0 がインストールされていること。

SIEM Connector をダウンロードしてインストールするには:

  1. SIEM Connector をインストールするネットワークコンピューターにログインします。
  2. SIEM 統合を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。この権限を持つデフォルト役割は、システム管理者役割のみです。

  3. SIEM Connector と SIEM アプリケーションの間の通信を認証するため、API トークンを生成し、SIEM Connector のインストールプロセスの間に API トークンファイルをアップロードします。

    1. API トークンファイルを作成する手順を実施します。

      SIEM の統合の管理権限をトークンに割り当てていることを確認します。

    2. ファイルをコンピューターにダウンロードします。
  4. ナビゲーションバーで 設定 > SIEM の統合をクリックします。

  5. ステップ 1 で:SIEM Connector をインストールし、SIEM Connector をダウンロードをクリックします。AbsoluteSiemConnector<x.x>.zip がダウンロードされます。

    変数 <x.x> は、コネクタのバージョン番号です (たとえば 3.0)。

  6. Zip ファイルをダウンロードした場所から、その内容をお好きな場所に展開します。Zip ファイルには、以下のファイルが含まれます:

    • AbsoluteSiemConnector<x.x>.msi:SIEM Connector 用の MSI インストーラー

    • AbsoluteSiemConnector<x.x>.checksums: インストーラーの SHA-256 ハッシュを含むファイル

      CertUtil などのハッシュ検証ツールを使用して、 AbsoluteSiemConnector<x.x>.msi インストーラーの内容がダウンロード中に変更されていないことを確認することができます。CertUtil の詳細については Microsoft のマニュアルを参照してください。

  7. SIEM Connector のインストール:

    1. ネットワークコンピューター上で、 AbsoluteSiemConnector<x.x>.msi ファイルのある場所に移動し、ファイルをダブルクリックします。
    2. Absolute SIEM Connector のセットアップウィザードの Welcome ページで、次へをクリックします。
    3. エンドユーザーサービス契約書の利用条件を確認して合意し、次へをクリックします。

    4. 宛先フォルダーページで、以下のいずれかを実行します:

      • フィールドに表示されているデフォルトフォルダーをインストールするには、次へをクリックします。
      • 別のフォルダーにインストールするには、変更をクリックし、ローカルドライブ上の該当するフォルダーに移動して選択し、OKをクリックします。

    5. API トークンの設定ページで、以下を実行します。

      1. トークンファイルフィールドの隣で参照をクリックし、ステップ 3 でダウンロードした API トークンファイル (.token) に移動して選択します。

      2. トークン ID と秘密鍵を暗号化するには、暗号化キーフィールドをクリックし、最大 256 文字の値を入力することで、.keyファイルを生成します。文字、数字、記号の組み合わせがサポートされます。

        SIEMEncryptionKey.key ファイルは C:\Users\<userprofile>\AppData\Local\Absolute SIEM Connector に保存されています。このファイルは削除しないでください。

      3. 更新インターバルフィールドに、SIEM Connector サービスが Absolute の新しいイベントをチェックする頻度を入力します。インターバルは 5 分から 1440 分 (24 時間) の間で設定できます。デフォルトのインターバルは 60 分です。
      4. 次へをクリックします。システムが API トークンを検証します。

    6. Syslog サーバーの設定ページで、以下を実行します。

      1. syslog サーバーのホスト名を入力します。
      2. syslog メッセージのポート番号を入力します。

      3. TCP または UDP プロトコルを選択します。

        TCP プロトコルは、UDP よりも信頼性が高いため、推奨されます。

      4. 次へをクリックします。
    7. Absolute SIEM Connector のインストール準備ページで、インストールをクリックし、インストールが終了するまで待ちます。

    8. 終了をクリックします。SIEM Connector がインストールされます。

    Connector のインストール後に SIEM Connector の設定を更新する必要がある場合、Windows の設定 > アプリのプログラムのアンインストールまたは変更機能を使用して、Absolute SIEM Connector のセットアップウィザードを開きます。その後、該当する設定を編集できます。プログラムの更新の詳細については、Windows のマニュアルを参照してください。

統合の設定は、SIEM アプリケーションに送信するためのイベントを選択する手順と、統合を有効化 (または無効化) する手順で構成されます。

  1. SIEM 統合を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。この権限を持つデフォルト役割は、システム管理者役割のみです。
  2. ナビゲーションバーで 設定 > SIEM の統合をクリックします。
  3. SIEM 統合が現在無効化されている場合、ステップ 2:統合を設定で、オフをクリックしてスイッチをオンに切り替えます。統合が有効になります。

  4. イベントを表示をクリックします。

    SIEM アプリケーションに送信できる Absolute イベントのリストがグリッド内に表示されます。

  5. SIEM アプリケーションに送信する各イベントの隣りにあるチェックボックスをオンにします。リスト内の個別のイベントを検索するには、検索フィールドにキーワードを入力します。入力に合わせて、検索結果が動的に更新されます。

    すべてのイベントを選択するには、検索フィールドの隣にあるチェックボックスをオンにします。

  6. [オプション] 終了したら、選択なしを非表示をクリックして選択したものを確認します。すべてのイベントを再び表示するには、選択なしを表示をクリックします。
  7. 今後、Absolute は新しいイベントタイプを導入する新しい機能をリリースする可能性があります。新しいイベントタイプごとに割り当てられているイベントが SIEM アプリケーションに送信されていることを確認するには、すべての新しいイベントタイプを自動的に選択の隣にあるチェックボックスをオンにします。
  8. 保存をクリックします。統合が設定されます。選択したイベントの数が、選択したイベントの隣にあるグリッドの上に表示されます。

  1. SIEM 統合を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。この権限を持つデフォルト役割は、システム管理者役割のみです。
  2. ナビゲーションバーで 設定 > SIEM の統合をクリックします。

  3. ステップ 2:統合を設定で、下記のいずれかを実行します。

    • 無効な統合を有効にするには、スイッチをクリックしてオンに設定します。システムは Absolute アカウントから SIEM アプリケーションにイベントを送信し始めます。
    • 有効な統合を無効にするには、スイッチをクリックしてオフに設定します。システムは Absolute アカウントから SIEM アプリケーションへのイベントの送信を停止します。

新しいバージョンの SIEM Connector が Secure Endpoint Console で利用できるようになる場合があります。新しいバージョンがリリースされたら Connector をアップグレードすることがベストプラクティスです。

SIEM Connector をアップグレードするには、新しいバージョンの Connector をダウンロードしてインストールします。新しいバージョンによって古いバージョンは自動的に上書きされます。

新しいバージョンをインストールする前に古いバージョンの Connector をアンインストールしないでください。この操作を行うと、重複したイベント (アップグレード前の 5 日間分) が SIEM ソリューションに送信されることになります。

また、以下の点にも注意してください。

  • 新しい API トークンを作成する必要があります。SIEM の統合の管理権限をトークンに割り当てていることを確認します。
  • 新しい Connector は、ステップ 2: 統合の設定で設定したイベント設定に自動的に適用されます。再設定は必要ありません。