Log360 スタートアップガイド

(1)

2020

Log360 スタートアップガイド

2020 年 10 月 1 日改訂

あらゆるログの収集と保管 Active Directory 監査

機械学習を使用した異常検知

(2)

1. はじめに

1-1 本ガイドについて

本ガイドではLog360のインストール方法について説明しています。

また、本ガイドはビルド5200を元に作成しています。

1-2 対象読者

本ガイドは、導入に関するシステム管理者を対象としています。

1-3 Log360 とは

Log360とは、当社製品「ADAudit Plus」、「EventLog Analyzer」を1つのコンソール画面で管理することができる製品です。両製品を1つのコンソール画面で管理できることで、ネットワークセキュリティとActive Directoryの監査が容易になります。

・ADAudit Plus: Active Directoryログの可視化、およびアラート通知などを行う監査支援ツール

・EventLog Analyzer: あらゆるログを一括管理する統合ログ管理ツール

1-4 オプションについて

Log360はオプションとして、Office 365監査が容易になる「O365 Manager Plus」と、機械学習のアルゴリズムを活用して、ネットワーク上のユーザー/デバイスの異常行動を検知する「Log360 UEBA」の使用が可能です。Log360をインストールしてから30日間は両製品とも無料でご利用できます。30日が経過すると自動的に無料版へ移行します。

※Log360のオプションとしての「O365 Manager Plus」では、ユーザー管理機能が使用不可となっております。

1-5 ライセンスの種類

ManageEngine製品には「通常ライセンス」と「年間ライセンス」の2つのライセンス形態があります。各ライセンス形態の特徴とメリットは以下の通りです。

表 1 通常ライセンスと年間ライセンスの比較

種類特徴 メリット

通常ライセンス

◼ 無期限の製品ライセンスに、初年度のみの年間保守サポートサービスが含まれている

◼ 製品の納品日から保守サービスが開始され、以後、1 年ごとに年間保守サポートサービス契約を更新する

半永久的にソフトウェアが利用可能

（無期限の使用許諾）

年間ライセンス

◼ 1 年間利用可能な製品ライセンスで、年間保守サポートサービスが含まれている

◼ 1年ごとに年間ライセンス契約を更新する

毎年使用権を購入する体系で、少額の費用で利用開始可能

(5)

1-6 評価版から購入版にアップグレードする方法

1. 製品UI画面の右上にある[ライセンス]をクリックするとライセンス情報ページが表示されます。

2. [選択ファイルなし]の部分をクリックして、購入したライセンスファイルを選択します。

3. [アップグレード]をクリックするとライセンスが適用され、購入版にアップグレードされます。

Log360はEventLog Analyzer、ADAudit Plusを統合管理できる製品です。ライセンスの数え方は各製品の価格ページをご確認ください。

EventLog Analyzer: https://www.manageengine.jp/products/EventLog_Analyzer/pricing.html ADAudit Plus: https://www.manageengine.jp/products/ADAudit_Plus/pricing.html

NOTE

(6)

2. システム要件

表 2 ハードウェア条件

ハードウェア 最小値 推奨値

CPU 2.4 GHz / マルチコア 3 GHz / 8コア

メモリ 8 GB 16 GB

ディスク空き容量 60 GB 150 GB

表 2 ソフトウェア要件 (Webブラウザー)

Webブラウザー バージョン

FireFox 40 以上

Google Chrome 45 以上

Microsoft Edge ―

表 3 ソフトウェア要件 (OS)

OS

Windows Server 2012 / 2012 R2 / 2016 / 2019 Windows 8 / 10

※クライアントOSは評価目的のみで利用可能です。本番環境にはサーバーOSをご利用ください。

NOTE

(7)

3. ダウンロード

インストールファイルを以下のURLからダウンロードします。

https://www.manageengine.jp/products/Log360/download.html

4. インストール手順

1. ダウンロードしたファイル (ManageEngine_Log360_64bit.exe) をダブルクリックします。

2. インストール画面が表示されるので”次へ”をクリックします。

図 1 インストール画面

ダウンロード時から30日間は、評価版として各製品の全ての機能が利用できます。なお30日の評価期間が終了後は、自動的に無料版に移行します。評価版と無料版の違いについては以下のページをご参照ください。

EventLog Analyzer:https://www.manageengine.jp/products/EventLog_Analyzer/dl_comparison.html ADAudit Plus: https://www.manageengine.jp/products/ADAudit_Plus/dl_comparison.html

※「O365 Manager Plus」は無料版に移行後、1テナント/25ユーザーの監査が可能です。

※「Log360 UEBA」を引き続きご利用の場合は、新たにオプションライセンスの購入が必要です。

NOTE

(8)

3. ライセンス条項を承諾後、”はい”をクリックします。

図 2 インストール画面

4. インストールディレクトリを選択します。デフォルトは ‘C:\ManageEngine\Log360’です。変更する場合は”参照”をクリックしてください。

図 3 インストール画面

(9)

5. ^Log360をインストールするかの選択を行います。インストールを行う場合は”次へ”をクリックしてください。

6. 任意でお客様情報を入力してください。(入力しない場合は”Skip”をクリックしてください。)

(10)

7. インストールの完了です。“はい、Readmeファイルを閲覧します”、“Log360をアプリケーションモードで起動します”を必要に応じて選択後、”完了”ボタンをクリックします。

※各チェックボックスについて

「はい、Readmeファイルを閲覧します」 -> リリースノート（英語版）が開きます

「Log360をアプリケーションモードで起動します」 -> 完了ボタンをクリック後、Log360がアプリケーションとして起動します

5. 起動と停止

5-1 Log360 をサービスとして起動する場合

※Log360をアプリケーションとして起動している場合は、アプリケーションを停止してから下記手順を行ってください。

1. スタートメニューをクリックします。

2. Log360の中にある“Log360をサービスとしてインストール”をクリックして起動します。

3. Log360が[サービス]に追加されます。

図 7 サービスの追加画面

(11)

4. [スタート]→[コントロールパネル]→[管理ツール]→[サービス]を開き、[ManageEngine Log360]を選択します。そしてボタン、あるいは”サービスの開始”という文字をクリックして、サービスを開始してください。

※Log360が起動すると他製品も自動的に起動します

図 10 サービスの起動画面

5-2 Log360 のサービスを停止する場合

1. [スタート]→[コントロールパネル]→[管理ツール]→[サービス]を開き、[ManageEngine Log360]を選択します。そしてボタン、あるいは”サービスの停止”という文字をクリックして、サービスを停止してください。

図 11 サービスの停止画面

(12)

5-3 Log360 をアプリケーションとして起動する場合

[スタート]→[すべてのプログラム]→[Log360]→[Log360を起動]を選択します。

図12 Eventlog Analyzerサーバーの起動方法

5-4 Log360 のアプリケーションを停止する場合

[スタート]→[すべてのプログラム]→[Log360]→[Log360を停止]を選択します。

図13 Eventlog Analyzerサーバーの停止方法

(13)

5-5 Log360 にブラウザーからアクセスする場合

Log360の起動後、クライアントPCからブラウザーを立ち上げて、アドレスバーに以下のURLを入力します。

http://[サーバー名]:[ポート番号] (例: http://test-machine:8095)

[サーバー名] ・・Log360 をインストールしたサーバーのホスト名かIPアドレスを指定します。

[ポート番号] ・・Webサーバーポート番号（デフォルトは8095）を指定します。

ログイン画面が表示されます。初回ログイン時には、ユーザー名とパスワードに「admin」と入力してログインしてください。

図 8 ログイン画面

(14)

5-6 各製品へのアクセス方法

Log360にログイン後、左メニューよりアクセスする製品をクリックします。

各製品の詳細情報は以下のページをご参照ください。

EventLog Analyzer: https://www.manageengine.jp/products/EventLog_Analyzer/

ADAudit Plus: https://www.manageengine.jp/products/ADAudit_Plus/

O365 Manager Plus: https://www.manageengine.jp/products/O365_Manager_Plus/

NOTE

(15)

5-7 Log360 をアンインストールする方法

[スタート]→[すべてのプログラム]→[Log360]→「Log360をアンインストール」を選択します。

図 9 アンインストール画面

1. 確認メッセージが表示されます。削除対象の製品をチェック後、「アンインストール」をクリックします。

図 10 アンインストール画面

2. ウィザードが立ち上がります。アンインストールが終了したら、「完了」ボタンをクリックしてウィザードを閉じます。

3. Log360のインストールフォルダーを削除します。

(16)

6. 各画面の解説

6-1 ダッシュボードタブ

ダッシュボードタブでは、各製品に関する概要レポートが閲覧できます。[ダッシュボード]タブの下に表示されている各製品名をクリックしていただくことで、対象製品内の概要が容易に確認できます。

図17 ダッシュボードタブ

(17)

6-2 レポートタブ

レポートタブでは、各製品のレポート機能を一括で閲覧することが可能です。[レポート]タブの下に表示されている各製品名をクリックしていただくことで、対象製品に備わっているレポートを確認することができます。下画像はADAudit Plusを選択した場合の画面です。

図18 レポートタブ

(18)

6-3 コンプライアンスタブ

コンプライアンスタブでは、PCI DSS、SOX法、HIPAA法、GDPRなどの様々な規制法令に適合するレポートを作成できます。レポートはPDF/CSV形式で出力することができ、スケジュールレポートの設定も可能です。

図19 コンプライアンスタブ

6-4 管理タブ

管理タブでは、各製品に接続する際のポート番号の設定や製品にログインする際の認証設定（SSO認証や二段階認証）、ディスク空き容量通知設定など、あらゆる設定をカスタマイズすることが可能です。

図20 管理タブ

(19)

7. システム設定

7-1 製品統合設定

Log360サーバーとは異なるサーバーに各製品をインストールしている場合、[管理]タブよりサーバー名/IPアドレス、ポート番号を指定することで、異なるサーバー上にインストールされている製品を統合することができます。手順は以下をご参照ください。

<統合設定手順>

1. [管理]タブ→[Log360の統合]をクリックします。

2. 各製品がインストールされているサーバー名/IPアドレス、プロトコル（HTTP/HTTPS）、ポート番号を指定します。

3. 各製品がLog360サーバーとは異なるサーバーにインストールされている場合、[認証情報]にチェックを入れ、製品へログインする際に使用する管理者アカウントの認証情報を入力します（デフォルトではadmin/admin）。

図21 統合設定

(20)

7-2 ドメイン設定

Log360にバンドルされているADAudit Plusではドメインコントローラーのセキュリティログに記録されているデータを収集します。したがいまして、Log360内にてADAudit Plusを使用するためには、ドメイン設定を行う必要があります。

また、初めてLog360にログインするとき、Log360をインストールしているサーバーが何らかのドメイン配下にある場合は、

対象ドメインとドメインコントローラーが自動的にディスカバリーされます。しかし、その場合も、製品機能を全て使用可能とするには、”Domain Admin”以上の権限をもつユーザーの認証情報を改めて登録する必要があります。

ドメイン設定と認証情報の登録はADAudit Plus、またはEventLog Analyzerにて可能です。どちらかの製品内で設定していただきますと、設定内容が自動的に同期されます。各製品における設定は以下のガイドをご参照ください。

<ドメイン設定と認証情報の登録方法>

ADAudit Plus: https://www.manageengine.jp/products/ADAudit_Plus/ADAuditPlus_StartupGuide.pdf

EventLog Analyzer: https://www.manageengine.jp/download/products/ELA/EventLogAnalyzer_InstallGuide.pdf

7-3 接続先ポート番号設定方法

Log360への接続先ポート番号はデフォルトでは8095ですが、お客様環境に合わせて変更が可能です。以下の手順をご参照ください。

<接続先ポート番号変更手順>

1. [管理]タブ → [一般設定] → [製品設定]をクリックします。

2. HTTPまたはHTTPSを選択して、ポート番号を入力します。

3. HTTPSを選択する場合は、[キーストアパスワード]の有効化が可能です。

4. 必要に応じて、[LDAP SSLを有効化]にてドメインを選択してください。

図22 接続先ポート番号設定

(21)

7-4 メールサーバー設定

メールサーバーを設定することで、アラート通知等のメールを受信することができます。設定手順は以下をご参照ください。

<メールサーバー設定手順>

1. [管理]タブ→[一般設定]→[サーバ設定]をクリックします。

2. [サーバー名/IPアドレス]と[ポート番号]にSMTPサーバーの情報を入力します。

3. [差出人アドレス]には通知を送信する側のメールアドレスを、[管理者のメールアドレス]には通知を受信する側のメールアドレスを入力します。テストメールをクリックして、問題なくメールが受信できるかご確認ください。

4. 必要に応じて、[保護接続(SSL/TLS)]にて接続方法を選択します。

5. メールサーバーで認証を必要とする場合は、[認証]にチェックを入れて、メールサーバーの[ユーザー名]と[パスワード]を入力します。

図23 メールサーバー設定

(22)

7-5 パーソナライズ設定とパスワード変更方法

パーソナライズ設定では、日付や言語設定、パスワード変更などの機能を設定することが可能です。

<パーソナライズ設定方法>

1. [管理]タブ→[一般設定]→[カスタマイズ]をクリックします。

2. [パーソナライズ]タブにて、言語、時間帯、日付/時刻形式の設定を編集できます。

3. 変更後は[設定を保存する]をクリックします。

図24 パーソナライズ設定

<パスワード変更方法>

1. [管理]タブ→[一般設定]→[カスタマイズ]をクリックします。

2. [パスワードを変更する]タブをクリックします。

3. [古いパスワード]に現在のパスワードを入力します。

4. [新しいパスワード]に変更後のパスワードを入力し、[パスワードを確認する]にも再度入力します。

5. [パスワードを変更する]をクリックします。

図25 パスワード変更方法

(23)

8. Log360 UEBA について

8-1 概要

Log360のUEBA（User and Entity Behavior Analytics：ユーザーおよびエンティティの行動分析）機能では、ログの分析を通してユーザーやエンティティの行動を学習し、通常の行動の”ベースライン”を作成します。ベースラインと実際のユーザー/エンティティの行動とを比較して、ユーザー/エンティティごとに”リスクスコア”を算出し、IT管理者が「異常」な状況を察知しやすくなります。

※リスクスコアは、事前に定義された行動の重み、ベースラインからの逸脱度、逸脱の頻度、逸脱からの経過時間などの要素により、0（リスクなし）〜100（リスク最大）で示されます。

8-2 Log360 UEBA を活用するメリット

ネットワーク活動を分析して攻撃を検知するLog360は、既知の攻撃検知に効果を発揮するのに対して、UEBAは機械学習を使用してユーザー/エンティティの異常な行動を検知するので、既存パターンが確立されていない攻撃に対して効果が発揮されます。つまり、Log360にUEBA機能を取り入れることで、より多様な脅威シナリオに対して効果的に対応できるようになります。

UEBAの詳細な情報、活用例をお求めの方は以下のURLから資料をダウンロードしてください。

https://www.manageengine.jp/products/Log360/user-and-entity-behavior-analytics/UEBA_guide_lp.html

NOTE

(24)

9. Log360 UEBA 各画面の解説

9-1 ホームタブ

ホームタブでは、異常のトレンドやユーザー/エンティティのリスクスコアといった概要が表示され、状況を容易に把握することができます。

(25)

9-2 異常レポートタブ

異常レポートタブでは、管理対象のデバイスやアプリケーションに発生している異常を把握することができます。例えば、以下の画像はログオンのカウントベースに関する異常レポートを示しています。UEBAがこれまでに集積した情報から、対象ユーザーの通常ログオン回数とされる”しきい値”を算出し、そのしきい値を超えた場合に異常と見なされ、以下のレポートが出力されています。

図27 異常レポートタブ

※カスタムレポートの作成方法

異常レポートタブでは、指定の異常をフィルターして表示するカスタムレポートの作成が可能です。カスタムレポートの作成は以下の手順をご参照ください。

<カスタムレポート作成手順>

1. [異常レポート]タブ→[レポートを管理]→[カスタムレポートを作成]をクリックします。

2. [レポート名]を入力します。

3. [カスタムグループ]を選択します。

4. [データ元レポート]にて、レポートソースを選択します。定義済みレポートからの選択となります。

5. [アクション]: レポートに表示するアクション内容を選択します。

6. [フィルタを追加]: フィルタ設定が可能です（必須ではありません）。

7. [ビュー]: 選択したレポートソースの異常基準を選択します。基準は、時間・数・パターンの3つです。

・時間：対象イベントが発生した時間・数：対象イベントの発生回数

・パターン：対象イベントが発生する前に起こっているイベントパターン 8. [作成]をクリックします。

(26)

図28 カスタムレポート作成

(27)

9-3 設定タブ

設定タブでは、業務時間の設定や製品を操作する技術者の管理、リスクスコアのカスタマイズなどを行うことができます。

図29 設定タブ

※リスクスコアのカスタマイズについて

[リスクスコアのカスタマイズ]では、異常値を示すリスクスコアの算出方法をカスタマイズすることが可能です。リスクスコアをカスタマイズするためには、それぞれの異常行動に対する”重み”と”減衰係数(DF)”の数値を変更します。

・「重み」

異常行動に対する重要度を示す値です。値が大きいほど、対象の異常行動が発生した場合にリスクスコアが高くなります。

・「減衰係数(DF)」

リスクスコアにが時間とともにどの程度減衰するかを示す値です。値が大きいほど、対象の異常行動が同じセッション内に繰り返し発生すると、リスクスコアが減少しやすくなります。

※”セッション”とは、UEBA内で測定される24時間の単位です。初めてLog360 UEBAを起動するのが午前9時の場合は、当日午前9時〜翌日午前9時が1セッションとなります。

(28)

図30 リスクスコアのカスタマイズ

(29)

10. お問い合わせ

評価版の使用期間 / 製品ご購入後の技術サポートは、以下のリンクよりご利用ください。

評価版ご利用中のお客様向け技術サポート https://www.manageengine.jp/support/trial.html

保守サポート契約締結のお客様向け技術サポート https://www.manageengine.jp/support/purchased.html

著作権について

本ガイドの著作権は、ゾーホージャパン株式会社が所有しています。

注意事項

本ガイドの内容は、改良のため、予告なく変更することがあります。

ゾーホージャパン株式会社は本ガイドに関しての一切の責任を負いかねます。

当社はこのガイドを使用することにより引き起こされた偶発的もしくは間接的な損害についても責任を負いかねます。

商標一覧

Linux はLinus Torvalds の登録商標です。

Java はOracleの登録商標です。

Windows は，米国およびその他の国における米国Microsoft Corp. の登録商標です。

ManageEngine は、ZOHO Corporation社の登録商標です。

なお、本ガイドでは、(R)、TM表記を省略しています。

本製品に関するお問い合わせ

ゾーホージャパン株式会社

〒222-0012 神奈川県横浜市西区みなとみらい三丁目6 番1 号みなとみらいセンタービル13 階ホームページ：https://www.manageengine.jp/

Log360 製品ページ：https://www.manageengine.jp/products/Log360/

Log360 スタートアップガイド