Ivanti ESA User Guide V ja-JP

Endpoint Security Audit

User Guide

ESA |Endpoint Security Audit 2

目次

1 ESA コンソール ... 1 1.1 ログオン・ログアウトログ ... 1 1.1.1 機能概要 ... 1 1.1.2 ログ設定 ... 1 1.1.3 ログ検索 ... 1 1.1.4 ログ操作 ... 2 1.2 システム変更ログ ... 4 1.2.1 機能概要 ... 4 1.2.2 ログ設定 ... 4 1.2.3 ログ検索 ... 5 1.3 ファイル操作ログ ... 5 1.3.1 機能概要 ... 5 1.3.2 ログ設定 ... 5 1.3.3 ログ検索 ... 7 1.4 印刷ログ ... 7 1.4.1 機能概要 ... 7 1.4.2 ログ設定 ... 7 1.4.3 ログ検索 ... 8 1.5 画面キャプチャログ ... 9 1.5.1 機能 ... 9 1.5.2 ログ設定 ... 9 1.5.3 ログ確認 ... 10 1.5.4 ログフォーマット ... 12 1.6 アプリケーションログ ... 13 1.6.1 機能概要 ... 13 1.6.2 ログ設定 ... 13 1.6.3 ログ検索 ... 15 1.7 アクティブウインドウログ ... 15 1.7.1 機能 ... 15 1.7.2 ログ設定 ... 15 1.7.3 ログ検索 ... 17 1.8 クリップボードログ ... 17 1.8.1 機能概要 ... 17 1.8.2 ログ設定 ... 17 1.8.3 ログ検索 ... 18 1.9 ドライブ追加・削除ログ ... 20 1.9.1 機能 ... 20 1.9.2 ログ設定 ... 20 1.9.3 ログ検索 ... 21 1.10 ウェブアクセスログ ... 21 1.10.1 機能概要 ... 21 1.10.2 ログ設定 ... 21

ESA |Endpoint Security Audit 3 1.10.3 ログ検索 ... 22 1.11 ファイルアクセスログ ... 23 1.11.1 機能概要 ... 23 1.11.2 ログ設定 ... 23 1.11.3 ログ検索 ... 26 1.12 クエリ ... 26 2 ESA ポータル ... 29 2.1 ダッシュボード ... 29 2.2 セキュリティー監査レポート ... 29 2.3 セキュリティー監査設定 ... 31 2.4 セキュリティー監査ログ ... 31 2.5 システム権限管理 ... 36 2.6 ロールアップログ ... 40 2.7 コアサーバの切り替え ... 41

ESA | ESA コンソール 1

1 ESA コンソール

1.1 ログオン・ログアウトログ

1.1.1

機能概要

1. アカウント、ドメイン、IP アドレス及び起動・終了時間を記録します。 2. アカウント、ドメイン、IP アドレス及びロック・アンロック時間を記録します。 3. アカウント、ドメイン、IP アドレス及びログイン・ログアウト時間を記録します。

1.1.2

ログ設定

なし

1.1.3

ログ検索

図1 ログオン/ログオフログ

ESA | ESA コンソール 2

1.1.4

ログ操作

ログオン/ログオフログを例として紹介します。 監査ログの操作は他の種類の監査ログ操作方法と同じシステムを使用しています。 1. ログ詳細 ログをダブルクリックして、以下の図のようなログウィンドウが表示されます。 図2 ログ詳細 2. ログのエクスポート CSV 形式でエクスポートされます。

ESA | ESA コンソール 3 図3 エクスポートのログ 3. 検索条件をクリア 検索条件をクリアして、デフォルトに戻します。 4. 検索 グループに含まれるクライアントに対して、「完全一致」と「部分一致」で検索することが 可能です。 図4 検索

ESA | ESA コンソール 4 5. 検索オプション ビュー上部の検索オプション設定ボタンを使用して、ログの絞り込みが可能です。 図5 検索オプシ ョン

1.2 システム変更ログ

1.2.1

機能概要

1. イントラネット環境と外部ネットワーク環境で使用した IP アドレスの変更を記録します。 2. 更新時間、クライアント ID、コンピュータ名、IP アドレス、OS バージョン、ドメイン名、 タイムゾーンを記録します。

1.2.2

ログ設定

なし

ESA | ESA コンソール 5

1.2.3

ログ検索

図6 システム変更ログ

1.3 ファイル操作ログ

1.3.1

機能概要

1. ユーザ名、ファイル名、時刻、操作の種類（新規、編集、貼り付け、削除、リネーム）を 記録します。 2. ファイル監視対象を設定します。（リストに設定されている拡張子と一致するファイルのみ ログを収集します）。

1.3.2

ログ設定

1. 監査対象となるファイルの拡張子（既定値：doc、docx、pdf、pps、ppsx、ppt、pptx、 txt、xls、xlsx） a) 新規（監査するファイルの拡張子を追加します。）

ESA | ESA コンソール 6 b) 削除（監査を除外するファイルを削除します） 2. ログ対象ディレクトリ（既定値：空） a) 追加（監視するディレクトリを設定します。例：C:¥test） b) 削除（ログ対象ディレクトリのリストから削除します。例：C:¥test） 3. ログ除外ディレクトリ（既定値：Cookies、TemporaryInternetFiles、Recycler、Temp） a) 追加（監視しないディレクトリを設定します） b) 削除（ログ除外ディレクトリのリストから削除します） ご注意：ログ対象ディレクトリとログ除外ディレクトリが同時に設定している場合、ログ除外 ディレクトリが優先されます。 4. アップロードのログサイズ制限 （下記2 条件のうち 1 つでも該当する場合、アップロードします） a) 時間制限：ファイル操作ログをアップロードする時間間隔を設定します。 b) サイズ制限：ファイル操作ログのアップロードするサイズを設定します。 図7 ファイル操作ログの設定

ESA | ESA コンソール 7

1.3.3

ログ検索

図8 ファイル操作ログ

1.4 印刷ログ

1.4.1

機能概要

1. ユーザ名、コンピュータ名、IP アドレス､プリンタ名称の情報を記録します。 2. プリンタの使用回数、ページ数を記録します。

1.4.2

ログ設定

アップロードのログサイズ制限： （下記2 条件のうち 1 つでも該当する場合、アップロードします） c) 時間制限：印刷ログをアップロードする時間間隔を設定します。 d) サイズ制限：印刷ログのアップロードするサイズを設定します。

ESA | ESA コンソール 8

図9 印刷ログ設定

1.4.3

ログ検索

ESA | ESA コンソール 9

1.5 画面キャプチャログ

1.5.1

機能

1. 時間指定及びアプリケーション指定で画面キャプチャができます 2. 高品質の画像圧縮率で、ディスクへの負担を軽減できます。 3. 連続再生が可能で、画像ファイルのエクスポートも可能です。 4. ユーザ名、コンピュータ名、キャプチャ数、キャプチャ内容を記録します。 5. 複数ユーザのキャプチャにも対応しています。 6. 拡張画面のキャプチャにも対応しています。 7. キャプチャデータの確認が可能です。

1.5.2

ログ設定

1. 画面キャプチャ時間帯：キャプチャの時間帯を設定します（既定値：24 時間） a) 追加（キャプチャが必要な時間帯をリストに追加します） b) 削除（リストからキャプチャしない時間帯を削除します） 2. 画面キャプチャ対象プロセスリスト：ログ対象になるプロセスを設定します （既定値：skype.exe、qq.exe、MSNMSGR.exe、msnlite.exe、fetion.exe） a) 追加（キャプチャが必要なプロセスリストを追加します） b) 削除（リストからキャプチャしないプロセスを削除します） 3. 画面キャプチャ間隔：画面キャプチャを実行する時間間隔です 4. アクティブウィンドウのみを取る：モニターの全画面ではなく、ログ対象プロセスのアク ティブウィンドウのみをキャプチャします。 5. スクリーンセーバーに画面キャプチャを取らない：スクリーンセーバー実行状態時にはキ ャプチャしません。

ESA | ESA コンソール 10 6. アップロードのログサイズ制限（下記 2 条件のうち 1 つでも該当する場合はアップロード します）： a) 時間制限：ログをアップロードする時間間隔です。 b) サイズ制限：ログファイルのサイズを設定します。 図11 画面キャプチャ設定

1.5.3

ログ確認

ログ（複数選択可）を選択し、右クリック→「サムネイルビューに追加」メニューをクリック します。

ESA | ESA コンソール 11 図12 画面キャプチャログ 1. コンピュータのサムネイルを選択します。 図13 サムネイルビュー 2. 「再生」ボタンをクリックして、キャプチャを連続再生します。

ESA | ESA コンソール 12 図14 キャプチャを再生 3. 削除：

1.5.4

ログフォーマット

1.PNG 形式でエクスポートします。 a) コンピュータを選択して、コンピュータ直下のキャプチャを全てエクスポートします。 b) 直接、キャプチャを選択してエクスポートすることもできます。

ESA | ESA コンソール 13 図15 画像をエクスポート

1.6 アプリケーションログ

1.6.1

機能概要

アプリケーションを使用したユーザ名、コンピュータ名、使用時間帯、プロセスを記録しま す。

1.6.2

ログ設定

1. ログ対象プロセス：監査するプロセスを設定します。 a) ログ除外プロセス：システムにてデフォルトで起動するプロセス以外に、ログの取得 を除外するプロセスが設定できます

（既定値：mmc.exe，ntoskrnl.exe, ntkrnlpa.exe, regsvr32.exe, wscntfy.exe, wuauclt.exe, wuauclt1.exe, lsm.exe, rundll32.exe, wininit.exe, dllhost.exe, LogonUI.exe, taskhost.exe, logon.scr, explorer.exe, system idle process, system, userinit.exe, services.exe, lsass.exe, smss.exe, svchost.exe, winlogon.exe,

ESA | ESA コンソール 14

csrss.exe, audiodg.exe, conhost.exe, WmiPrvSE.exe, MpCmdRun.exe, ISMSUser.exe, ISMSAgent.exe, ISMSWowHost.exe.）

b) サービスプロセスを監視：サービスのプロセスの監査可否を設定できます。 2. アップロードのログサイズ制限（下記 2 条件のうち 1 つでも該当する場合、アップロード します） a) 時間制限：ログをアップロードする時間間隔です b) サイズ制限：ログファイルのサイズを設定します 図16 アプリケーションログ設定

ESA | ESA コンソール 15

1.6.3

ログ検索

図17 アプリケーションログ

1.7 アクティブウインドウログ

1.7.1

機能

アクティブなウィンドウのタイトル、アクティブウィンドウのプロセス名とユーザ名などを記 録します。

1.7.2

ログ設定

1. ログ対象プロセス：ログ対象にするプロセスを設定します（何も設定しない場合、すべて のプロセスが有効になります）。 2. ログ除外プロセス：非ログ対象のプロセスを設定します（1 と 2 のリストに同じプロセス が同時に存在する場合、ログ除外プロセスが優先されます） 3. ダイアログのタイトルを記録します

ESA | ESA コンソール 16 4. アップロードのログサイズ制限（下記 2 条件のうち 1 つでも該当する場合、アップロード します） a) 時間制限：ログをアップロードする時間間隔です b) サイズ制限：ログファイルのサイズを設定します 図18 アクティブウィンドウログ設定

ESA | ESA コンソール 17

1.7.3

ログ検索

図19 アクティブウィンドウログ

1.8 クリップボードログ

1.8.1

機能概要

1. テキストのカット、コピーなどの操作を記録します。 2. ファイルのカット、コピーなどの操作を記録します。 3. カット、コピー操作も記録します。 4. PrintScreen でのスクリーンキャプチャも記録します。 5. サードパーティソフト使用時の画面スナップショットも記録します。 6. ログ内容：コピー内容、時刻、ドメイン名、ユーザ名、コンピュータ名、IP アドレス

1.8.2

ログ設定

1. データタイプ：

ESA | ESA コンソール 18 a) テキスト：クリップボード中のテキストを記録します。 b) ファイルリスト：クリップボード中の、ファイル名を記録します。 c) 画像：クリップボード中の画像の情報を記録します。 2. アップロードのログサイズ制限（下記 2 条件のうち 1 つでも該当する場合、アップロード します） a) 時間制限：ログをアップロードする時間間隔です。 b) サイズ制限：ログファイルのサイズを設定します。 図20 クリップボード ログ設定

1.8.3

ログ検索

★マークは画面スナップショットがあることを示し、ダブルクリックで内容を確認できます。

ESA | ESA コンソール 19

図21 クリップボード ログ

画像をエクスポートするには、画面キャプチャログにてエクスポートしてください。

ESA | ESA コンソール 20

1.9 ドライブ追加・削除ログ

1.9.1

機能

1. ドライブの種類と操作時間を記録します。 2. 記録内容：操作、ドライブの種類（タイプ）、見出し、時刻、ドメイン名、ユーザ名、コン ピュータ名、IP アドレス。

1.9.2

ログ設定

1. ドライブタイプ a) USB リムーバブルディスク b) CD-ROM 2. アップロードのログサイズ制限（下記 2 条件のうち 1 つでも該当する場合、アップロード します） a) 時間制限：ログをアップロードする時間間隔です。 b) サイズ制限：ログファイルのサイズを設定します。 図23 ドライブログ設定

ESA | ESA コンソール 21

1.9.3

ログ検索

図24 ドライブログ

1.10 ウェブアクセスログ

1.10.1

機能概要

1. ユーザのアクセスしたウェブサイトについての情報を記録します。 2. 記録内容：プロトコル、ホスト名、ポート、URL、タイトル、アクション、ドメイン、登 録アカウント、コンピュータ名、IP アドレス、開始時間、サーバ時間。 3. 指定した URL のアクセス時にキャプチャを取得します。

1.10.2

ログ設定

1. ログ対象 URL（例：yahoo.com）に対し、チェックボックスの ON/OFF によりスクリー ンショットの作成要否を設定します。

ESA | ESA コンソール 22 ご注意：画面キャプチャログ機能がOFF の場合、URL スクリーンショットは設定不可となり ます。 2. ログ除外 URL 3. アップロードのログサイズ制限（下記 2 条件のうち 1 つでも該当する場合、アップロード します）： a) 時間制限：ウェブアクセスログをアップロードする時間間隔です。 b) サイズ制限：ウェブアクセスログファイルのサイズを設定します。 図25 ウワェブアクセスログ設定

1.10.3

ログ検索

★マークは画面スナップショットがあることを示し、ダブルクリックで内容を確認できます。 画像をエクスポートするには、画面キャプチャログにてエクスポートしてください。

ESA | ESA コンソール 23 図26 ウワェブアクセスログ

1.11 ファイルアクセスログ

ご注意：この機能はESA のエンタープライズ版の機能となります。

1.11.1

機能概要

1. ファイルの新規作成、削除、コピー、変更、リネーム、読込、書き込みの操作を記録します。 2. ファイル操作のユーザ名、プロセス名及びファイル名を記録します。 3. キーワードとワイルドカードで監査対象ファイルを設定できます。 4. プロセス指定で監査対象ファイルを設定できます。 5. ディレクトリ指定で監査対象ファイルを設定できます

1.11.2

ログ設定

1. ログ対象ディレクトリ（ワイドカード* ？の仕様で監査フォルダをフィルタできます） a) 追加（監視するディレクトリを設定します。例：C:\*財務*）

ESA | ESA コンソール 24 b) 削除（ログ対象ディレクトリのリストから削除します。例：C:\*財務*） 注：フォルダまたはワイドカードを追加する時、パス末尾の¥符号が自動付加されるため、 入力する必要がありません。 2. ログ除外ディレクトリ ご注意：ログ対象ディレクトリとログ除外ディレクトリが同時に設定している場合、ログ除 外ディレクトリが優先されます。 図27 ファイルアクセスログ設定 3. 監査対象となるキーワード(ワイルドカードにも対応しています。* ？) a) 追加（監視するキーワードを設定します。例えば：財務*，人事？） b) 削除（ログ対象キーワードのリストから削除します。例：財務*） ご注意： F 監査対象となるキーワードリストに内容がない場合、監査を実施しません。 F ワイルドカード「？」は、ファイル名とファイル拡張子を基に判断します。 F キーワードは大文字・小文字を区分しません。 4. 監査除外キーワード 5. プロセスの監視設定

ESA | ESA コンソール 25 a) 追加（監視するプロセスを設定します。例えば： chrome.exe） b) 削除（ログ対象プロセスのリストから削除します。例：chrome.exe） 6. 監視除外プロセス（システムと ISMS プロセスは、監視しません。：ISMSUser.exe） 7. アップロードのログサイズ制限（下記 2 条件のうち 1 つでも該当する場合、アップロード します） a) 時間制限：ログをアップロードする時間間隔です。 b) サイズ制限：ログファイルのサイズを設定します。 図28 キーワード設定

ESA | ESA コンソール 26

1.11.3

ログ検索

図29 ファイルアクセスログ

1.12 クエリ

ESA | ESA コンソール 27

図30 新規クエリ

2. 検索条件を設定し、クリックします。

図31 クエリ条件

ESA | ESA コンソール 28

図32 クエリの結果

4. 検索結果画面では編集と削除の操作を行うことが可能です。

ESA | ESA ポータル 29

2 ESA ポータル

2.1 ダッシュボード

大量の記録データを可視化するために、ESA ポータルは多様なグラフ（折れ線、円、棒など） 及びレポート出力機能を提供します。 図34 ダッシュボード

2.2 セキュリティー監査レポート

レポートのパフォーマンス向上のため、レポートデータを計算する日次のSQL ジョブが追加さ れています。新規にポータルをインストールした時点では、レポートにデータは表示されませんが、 次の日に表示されます。また、これに伴い、レポートの表示期間の指定からは「今日」指定が省か れました。 ESA Server はローテーションを正常に実行完了した直後、レポートジョブを実行するので、 ローテーション機能を正常に実行できることを確認してください。 初回の計算対象のデータはすべてのログデータ、次回からは前日のデータのみを対象として計

ESA | ESA ポータル 30 算します。 ユーザ別またはクライアント別で監査レポートを参照します。 1. 設定：検索条件の設定により、必要とするレポートを参照します。 2. ダッシュボードへ保存：ダッシュボードでレポートデータの表示機能を設定します。 3. ダウンロード：画像をダウンロードします。 図35PC 利用時間レポート ご注意： F 一部のダウンロード機能を搭載していないブラウザーはダウンロード機能がサポート されません。 F ユーザ別でレポートを参照する際、データの整合性に問題が生じる可能性があります。 F システムのSmartScreenフィルタで、ダウンロードコンテンツを保護している場合、 ダウンロード許可をクリックしてレポートをダウンロードできます。 ウェブアクセスレポート及びアプリケーションレポートに対し、カテゴリ別の参照が可能です。 ユーザはカテゴリを追加/削除してカテゴリリストをカスタマイズできます。詳細について、2.5 章 セキュリティー監査設定のマスターデータを参照してください。

ESA | ESA ポータル 31

2.3 セキュリティー監査設定

インターネット経由で端末の監査及び管理が可能です（例：端末管理の設定、ログアラート管理、 データベースのローテーション管理）。LDMS コンソール版と機能は同じです。 図36 セキュリティー監査設定

2.4 セキュリティー監査ログ

各種の監査ログを確認します。ログの閲覧、検索及び CSV ファイルエクスポート機能もあり ます。 図37 監査ログ

ESA | ESA ポータル 32

µ 注意：

1. ファイルをエクスポート場合、ブラウザのバージョンにより保存パスが違う可能性も ありま。InternetExplorer は一時ディレクトリに保存する可能性があります。IIS 設 定で以下のようにすれば、保存パスを変更できます。

拡張子csv は MIME の種類にあります。Default Web Site を例にして、.csv を MIME

の種類に増加の操作ステップを紹介します。

a) IIS（Internet Information Services）マネージャーを開いて、Default Web Site->ESA Portal->ESAPortal ホーム->MIME の種類を選択する。

図38MIME の種類を選択

ESA | ESA ポータル 33

図39 MIME の種類を追加

c) 設定情報を入力

拡張子：.csv，MIME の種類：application/octet-stream、確定をクリック。

ESA | ESA ポータル 34 d) 追加完了を確認，拡張子.csv は MIME の種類に存在することを確認します。 図41 追加完了 2. CSV フォームエクスポートできない場合、ブラウザのセキュリティ設定をチェックし てください。IE はダウンロードオプションを使います・ Internet のダウンロードオプションをおスデップは以下のように設定してください。 インタネットオプションを開いて，セキュリティ->レベルのカスタマイズを以下の図のように 選択してください。

ESA | ESA ポータル 35

図42 インタネットオプション

a) ファイルのダウンロードを有効にして確定をクリック。

ESA | ESA ポータル 36

2.5 システム権限管理

1. システム権限設定 各ロール（ユーザーグループ）に対して権限が付与できます。システム管理者は全ての権限が 付与されます。ンドポイント監査管理、エンドポイントの監査、システム設定など。 図44 グループ管理 ご注意：一つのグループに複数ロール（ユーザグループ）を設定するときは、全てのロール（ユ ーザグループ）の権限が付与されます。 2. ロール（ユーザグループ）管理 ロールごとに権限を付与します。 a) ロールの作成

ESA | ESA ポータル 37 図45 グループ設定 b) 編集 c) 削除 d) ロールメンバー Windows アカウント或いはドメインアカウントを追加する。 図46 アカウントを追加 ご注意：グループメンバーにアカウントを追加するときに、該当アカウントが必ず Windows システム上に存在する必要があります。

ESA | ESA ポータル 38 e) リフレッシュ 3. グループ権限管理 各グループに対して、個別にエンドポイント監査ログ機能を設定できます。特定のグループの 監査ログを参照できる権限を設定できます。 図47 グループ権限設定 4. マスターデータ ユーザはソフトウェア及びウェブサイトカテゴリをカスタマイズできます。ソフトウェア 及びウェブサイトカテゴリの新規作成、ソフトウェアリスト及びウェブサイトリストの追加が 可能です。

ESA | ESA ポータル 39

図48 マスターデータ

5. コアサーバ

コアサーバURL の追加で、複数コアサーバのログを参照できます。

図49 コアサーバの追加

ご注意：指定されたコアサーバのESA ポータルと ESA サーバは、同じ IIS サイトにインスト

ールされていない場合、このコアサーバのログは参照することができません。 マッピングアカウント：

ESA | ESA ポータル 40 図50 ユーザーマッビンク設定 6. ライセンス情報 サーバ及びポータルのライセンス情報を表示します。 図51 ライセンス情報

2.6 ロールアップログ

グローバル監査ログでは複数のコアサーバログを同時に表示することができますし、コアサー バをスクリーニングして、特定のサーバ監査ログを表示すること可能です。スクリーニング条件を 設定して、検索をクリックします，その監査ログが検索できます。また、エクスポートをクリック

ESA | ESA ポータル 41 して、検索したログは.cav という拡張子のファイルにエクスポートされます。 図52 権限配置

2.7 コアサーバの切り替え

システム設定で多数のサーバを追加した後、Portal ページへ戻り、右上の「 」をクリックし て、ポップアップのドロップダウンリストでサーバを選びます。以下の図のように大阪サーバを選 びます。 図53 コアサーバーに切り替え

ESA | 42 切り替えたコアサーバのPortal ページは以下の図のように表示されます。 コアサーバを切り替えている際、現在ログインに使用しているアカウントのまま別のコアサー バのログ参照が可能です。そのため、複数のコアサーバの端末監査管理と監査ログ閲覧が容易に実 現できます。 図54 ESA Portal