主要SIEMソリューションとの連携
お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。
セキュリティ情報イベント管理(SIEM)ツールは、さまざまなサービスから機密性の高いセキュリティログを収集し、すべての活動を一元的に監視します。複数の IT リソースからのセキュリティログを取得することで、IT チームは悪意のある活動を特定しやすくなります。すべてのパスワード操作に関する情報を含むこれらのログをエンタープライズ SIEM システムに追加することで、内部および外部の脅威を包括的に把握できます。
Zoho Vault は一般的な SIEM ツールと連携でき、組織は選択した SIEM サービスからすべての Vault 監査ログを一元管理できます。SIEM サービスで利用可能な設定に基づいてカスタムアラートを作成し、即時または定期通知を受信することで、パスワードマネージャー内のすべての活動を常に把握できます。
前提条件
- Zoho Vault のスーパー管理者
- 対象の SIEM ツールの有効なサブスクリプション
SIEM 連携
SIEM サービスとの連携は、一般的に次の 2 ステップで行います。
- トークンの生成
- コレクターホスト名の特定
現在、以下 13 種類の SIEM ソリューションと連携できます。
- Loggly
- Logz.io
- Sematext
- Sumo Logic
- Timber
-
MS Sentinel
- Datadog
- Coralogix
- Elastic
-
Graylog
-
MS Sentinel DCR-Based
-
Splunk
-
IBM Qradar
メモ
- デフォルトでは、Zoho Vault で取得されたすべての監査ログが SIEM サービスに送信されます。送信する監査ログを絞り込むには、Vault のSIEM Integrations から Manage Syslog Configurations を選択します。
- 現在サポートしているプロトコルは HTTPS のみです。
- ログを送信できるのは、同時に 1 つのサービスのみです。
Loggly との連携
- Loggly アカウントにログインし、メニューバーから Source Setup を選択します。
- サブメニューから Customer Tokens を選択します。
- カスタマートークンはデフォルトで 1 つ作成されています。このトークンをコピーして後で使用するか、Zoho Vault 用に新しいトークンを使用する場合は Add New をクリックします。
- コレクターホスト名を確認するには、Source Setup を選択し、HTTP/S Event Endpoint をクリックします。
- Logs-01.loggly.com がデフォルトのホスト名です。変更している場合は、現在の URL を下のスクリーンショットでハイライトされている項目から確認できます。
Vault での Loggly 詳細設定
- Zoho Vault にスーパー管理者としてサインインし、Settings を選択します。
- SIEM Integration を選択し、Loggly の下にある Edit configurations をクリックします。
- Collector Hostname とトークン情報を入力し、Save Configuration をクリックします。
- Enable をクリックします。
Loggly から Zoho Vault のログにアクセスする
Vault のすべての監査ログを Loggly で表示するには、次の操作を行います。
- Loggly アカウントにサインインします。
- Search をクリックし、操作を行った日時に基づいて Vault から送信されたログを検索します。
Sematext との連携
- Sematext アカウントにサインインし、Logs を選択します。
- Create logs app をクリックします。
- App Name を入力し、Continue をクリックします。
- Actions を選択し、Integrations をクリックします。
- 画面をスクロールし、Where to send logs? セクションを表示します。
- 後で使用するために、ホスト名とインデックス(トークン)の情報をコピーしておきます。
Vault での Sematext 情報の設定
- Zoho Vault にスーパー管理者としてサインインし、Settings を選択します。
- SIEM Integration を選択し、SemaText の下にある Settings をクリックします。
- Collector Hostname とトークン情報を入力し、Save Configuration をクリックします。
- Enable をクリックします。
Sematext から Zoho Vault のログにアクセスする
Vault のすべての監査ログを Sematext で表示するには、次の操作を行います。
- Sematext アカウントにサインインします。
- 先ほど設定したアプリを Logs から選択します。
- Log counts から生成されたログの総数を確認し、Log Events からすべてのログの詳細を確認します。
- Search をクリックし、操作を行った日時に基づいて Vault から送信されたログを検索します。
Sumo Logic との連携
- アカウントにログインし、Manage Data を選択します。
- Collections を選択し、Add Collector をクリックします。
- Hosted Collector を Collector Type として選択します。
- 任意の Name を入力し、Save をクリックします。
- Add Source を、新しく作成した Collector に対応する行から選択し、HTTP Logs and Metrics を選択します。
- ソース名を入力し、Save をクリックします。
- 生成された URL をコピーしておきます。
- OK をクリックします。
Vault での Sumo Logic 詳細の設定
- Zoho Vault にスーパー管理者としてログインし、Settings を選択します。
- SIEM Integration を選択し、Settings を Sumo Logic の下でクリックします。
- Collector URL を入力し、Save Configuration をクリックします。
- Enable をクリックします。
Sumo Logic から Zoho Vault のログにアクセスする
Vault のすべての監査ログを Sumo Logic で表示するには、次の操作を行います。
- Sumo Logic アカウントにログインします。
- Manage Data を選択し、Collections をクリックします。
- Open in Log Search を、新しく作成したソースから選択し、操作の日時に基づいて Vault から送信されたログを表示します。
Logz.io との連携
- アカウントにログインし、メニューバーから Send Your Data を選択します。
- Libraries を選択し、Bulk HTTP/S をクリックします。
-
URL for HTTPS の項目に Collector Hostname が表示されます。以下のスクリーンショットのように、ホスト名をコピーします。
メモ: デフォルトでは、ホスト名は listener.logz.io になります。
- Query string parameters の項目にトークンの詳細が表示されます。説明からトークンをコピーします。
Vault での Logz.io 詳細の設定
- Zoho Vault にスーパー管理者としてサインインし、設定を選択します。
- SIEM 連携を選択し、Logz.io の下にある設定をクリックします。
- Collector ホスト名とトークン情報を入力し、構成を保存をクリックします。
- 有効にするをクリックします。
Logz.io から Zoho Vault のログにアクセスする
Vault のすべての監査ログを Logz.io で表示するには、次の操作を行います。
- Logz.io アカウントにサインインします。
- Kibanaを選択し、操作の日時に基づいてログを表示します。
Timber との連携
- Timber アカウントにサインインし、Sources を選択します。
- Add a New Source をクリックし、Protocols を選択します。
- HTTP API を選択します。
- HTTP API settings で、Source Name を入力し、Next Step をクリックします。
- 後で使用できるよう、Source ID と API Key(トークン)の情報をコピーし、Next Step を選択します。
Vault での Timber 詳細の設定
- Zoho Vault にスーパー管理者としてサインインし、設定を選択します。
- SIEM 連携を選択し、Timber の下にある設定をクリックします。
- Source ID とトークン情報を入力し、構成を保存をクリックします。
- 有効にするをクリックします。
メモ: デフォルトでは、ホスト名は logs.timber.io になります。
Timber から Zoho Vault のログにアクセスする
Vault のすべての監査ログを Timber で表示するには、次の操作を行います。
- Timber アカウントにサインインし、Console を選択します。
- 先ほど指定したソース名をドロップダウンボックスから選択し、操作の日時に基づいて Vault からのログを表示します。
Microsoft Sentinel との連携
- Microsoft Entra ID ポータルにサインインし、Microsoft Sentinel サービスにアクセスします。
- Zoho Vault の監査ログを転送したい Sentinel インスタンス を選択します。
- 左側のパネルで、Configurations の下にある Settings を選択します。
- Workplace Settings をクリックします。
- 左側のパネルから Agent management を選択し、Log Analytics agent instructions をクリックします。
- Zoho Vault で設定するため、Workspace ID と Primary key の情報を控えておきます。
Vault での MS Sentinel 詳細設定
- Zoho Vault にスーパー管理者としてサインインし、設定 を選択します。
- 設定 で SIEM 連携 をクリックします。
- MS Sentinel を有効にします。
- Workspace ID と Primary key をトークンとして設定し、設定を保存 をクリックします。
MS Sentinel からの Zoho Vault ログの参照
Sentinel で Vault のすべての監査ログを表示するには:
- Microsoft Entra ID ポータルにサインインし、Microsoft Sentinel サービスにアクセスします。
- Zoho Vault の監査ログを表示したい Sentinel インスタンス を選択します。
- 左側のパネル で、Configurations の下にある Settings を選択します。
- Workplace Settings をクリックします。
- 左側のパネル から Logs を選択します。
- Queries メニューを閉じます。
- 次のクエリを実行します。
- Results セクションからログを確認します。
Datadog との連携
- Datadog アカウントにサインインします。
- 左側のサイドバーの設定メニューに移動します。
-
Organization Settings で API Keys を選択します。
- 既定の API キーが 1 つ表示されます。このキーをコピーして後で使用するか、必要に応じて New Key をクリックして Zoho Vault 用の新しいキーを作成します。
Vault での Datadog 詳細設定
- Zoho Vault アカウントにスーパー管理者としてサインインします。
- 設定メニューで SIEM 連携 を選択し、Datadog の Edit Configurations をクリックします。
- Datadog から提供された Collector Hostname とトークン情報を入力し、設定を保存 をクリックします。
- Enable をクリックして連携を有効化します。
- Manage Syslog Configuration で、Zoho Vault から SIEM サービスに送信する監査ログの一覧を選択します。
Zoho Vault の設定では、ドメインをホスト名として入力します。たとえば、URL が https://app.datadoghq.com の場合、ホスト名は datadoghq.com となります。
Datadog からの Zoho Vault ログの参照
Zoho Vault のすべての監査ログを Datadog で表示するには:
- Datadog アカウントにサインインします。
- 検索バーで、フィルター「source:zohovault」を使用して Vault のログを検索します。