1. Splashtop On-Prem - サポートセンター
  2. セキュリティ
  3. 一般

Splashtop On-Prem:監査とログの概要

Avatar
Splashtop

はじめに

Splashtop On-Premは、組織がセキュリティコンプライアンスを維持し、問題をトラブルシューティングし、リモートアクセス活動を監視するための包括的な監査およびログ記録機能を提供します。本記事では、Splashtop On-Premで利用可能な主要な監査機能とその効果的な使用方法について説明します。

利用可能な監査機能

1. チームログ

概要

チームログは、管理者にSplashtopデプロイメント内のユーザーアクティビティ、認証イベント、システム操作の詳細な記録を提供します。これらのログは、ユーザーの行動を監視し、セキュリティインシデントを特定し、組織のポリシーへのコンプライアンスを維持するために不可欠です。

ログに記録される内容

チームログは、次のようなさまざまなイベントをキャプチャします:

  • ユーザーのログインおよびログアウトイベント
  • リモートセッションの接続と切断
  • 管理者による構成変更
  • 権限とロールの変更
  • デバイスの追加と削除
  • 認証の失敗とセキュリティイベント
  • ファイル転送アクティビティ(有効な場合)
  • ユーザー管理アクション(作成、削除、変更)

チームログへのアクセス方法

  1. 管理者としてSplashtop On-Prem管理Webコンソールにログインします
  2. ログ > セッションタイプに移動します
  3. フィルターオプションを使用して結果を絞り込みます:
    • 無人セッション/有人セッション
    • 日付範囲
    • 実行されたアクション

ベストプラクティス

  • 定期的にチームログを確認して、異常なアクティビティパターンを検出します
  • セキュリティ手順の一環として、ログレビューのスケジュールを設定します
  • 長期保管のために定期的にログをエクスポートします
  • フィルターを使用して特定のイベントを迅速に特定したり、問題をトラブルシューティングします

2. 集中セッション記録

概要

集中セッション記録は、リモートセッションのビデオ記録を自動的にキャプチャし、リモートアクセス接続中に実行されたすべてのアクティビティの完全な視覚的記録を提供します。この機能は、セキュリティ監査、コンプライアンス要件、およびセキュリティインシデントの調査に不可欠です。

主な機能

  • 自動記録:構成されたポリシーに基づいてセッションが自動的に記録されます
  • 集中ストレージ:すべての記録はOn-Premサーバーインフラストラクチャに保存されます
  • 再生コントロール:標準のビデオ再生コントロールで記録を確認します
  • 保持ポリシー:ストレージ容量とコンプライアンス要件に基づいて自動クリーンアップを構成します

有効化と構成の方法

  1. 設定 > チーム設定 > 集中セッション記録に移動します
  2. 集中セッション記録を有効にします
  3. 記録設定を構成します:
    • どのロールが記録にアクセスできるかを設定します
    • どのロールが記録を削除できるかを設定します
  4. 構成を保存します

記録されたセッションへのアクセス方法

  1. ログ > リモートデスクトップセッション > 記録に移動します
  2. 検索フィルターを使用して特定のセッションを検索します:
    • 日付と時刻の範囲
    • ユーザー名
    • コンピューター名
    • セッションの期間
  3. 記録をクリックして再生します
  4. 再生コントロールを使用してセッションの特定の部分を確認します

ストレージに関する考慮事項

  • セッション記録は、期間と品質設定によって大量のストレージスペースを消費する可能性があります
  • 予想されるセッション量に基づいて適切なストレージ容量を計画します
  • 古い記録を自動的に削除する保持ポリシーを実装します
  • コンプライアンスのために長期保持が必要な場合は、ストレージの拡張を検討してください

3. SyslogとSIEM統合

概要

Splashtop On-Premは、監査ログを外部syslogサーバーまたはセキュリティ情報およびイベント管理(SIEM)システムに転送できます。この統合により、集中ログ管理、他のセキュリティイベントとの関連付け、およびITインフラストラクチャ全体にわたる高度な分析が可能になります。

サポートされている統合タイプ

  • Syslog:標準syslogプロトコル(UDP/TCP)
  • SIEMプラットフォーム:以下を含む主要なSIEMソリューションと互換性があります:
    • Splunk
    • IBM QRadar
    • ArcSight
    • LogRhythm
    • Azure Sentinel
    • その他のsyslog互換SIEMシステム

構成手順

  1. システム > Syslogに移動します
  2. syslog転送を有効にします
  3. 接続の詳細を構成します:
    • Syslogサーバーアドレス:syslog/SIEMサーバーのIPアドレスまたはホスト名
    • ポート:通常は514(UDP)または6514(TCP/TLS)
    • プロトコル:要件に基づいてUDP、TCP、またはTLSを選択します
    • ファシリティ:適切なsyslogファシリティを選択します(通常はLocal0〜Local7)
    • 重大度レベル:転送する重大度レベルを選択します
  4. 接続をテストして、ログが受信されていることを確認します
  5. 構成を保存します

ログ形式

Splashtopは、次を含む標準syslog形式(RFC 5424またはRFC 3164)でログを転送します:

  • タイムスタンプ
  • イベントタイプ
  • ユーザー情報
  • 送信元および宛先コンピューター
  • セッションの詳細
  • アクションの結果/ステータス

SIEM統合の利点

  • 集中可視性:他のセキュリティログと一緒にSplashtopイベントを表示します
  • 関連付け:リモートアクセスを他のセキュリティイベントと関連付けることでパターンを特定します
  • アラート:疑わしいアクティビティの自動アラートを設定します
  • コンプライアンスレポート:すべてのシステムにわたって包括的なレポートを生成します
  • 長期保持:SIEMのストレージを活用して、ログの保持期間を延長します

トラブルシューティング

  • Splashtop On-Premとsyslogサーバーとのネットワーク接続を確認します
  • ファイアウォールルールを確認して、syslogポートが開いていることを確認します
  • syslogサーバーがSplashtopからのログを受け入れるように構成されていることを確認します
  • syslog形式とSIEM解析ルールの互換性を確認します

4. セッショントランスクリプト

セッショントランスクリプトのタイプ

Splashtop Gatewayは、3種類のセッショントランスクリプトをサポートしています:

1. チャットトランスクリプト

  • リモートサポートセッション中の技術者とリモートユーザー間のすべてのチャット会話を記録します
  • セッション内およびセッション外のチャットメッセージをキャプチャします(有効な場合)
  • サポートのやり取りを確認し、コミュニケーションを検証するのに役立ちます

2. リモートコマンドトランスクリプト

  • リモートコマンド機能を介して実行されたすべてのコマンドをキャプチャします
  • リモートで実行されたコマンドライン操作の完全な監査証跡を提供します
  • セキュリティ監査とコンプライアンスに不可欠です

3. SSHトランスクリプト

  • Splashtopを通じて開始されたSSHセッションの端末入力/出力を記録します
  • コマンドとその出力を含む完全な端末セッションをキャプチャします
  • サーバーやネットワークデバイスへの特権アクセスの監査に重要です

主な利点

  • 検索可能:ビデオ記録とは異なり、トランスクリプトは完全にテキスト検索可能です
  • 軽量:ビデオ記録と比較して必要なストレージが最小限です
  • 監査に適している:セッション全体を視聴することなく、特定のコマンドや会話を簡単に確認できます
  • コンプライアンス:特権コマンドの実行とユーザーのやり取りの証拠を提供します
  • フォレンジック:どのコマンドが実行され、どのような通信が行われたかを詳細に調査できます

チャットトランスクリプトを有効にする方法

チーム所有者は、チーム設定でセッション内およびセッション外のチャットトランスクリプトをセッションログに保存するオプションを有効または無効にできます。

要件:On-Prem Streamer v3.7.4.5以降

無人アクセスの場合:

  1. Splashtop Gatewayで**[設定] > [チーム設定] > [無人アクセス]**に移動します
  2. セッションセキュリティオプションを見つけます
  3. 必要に応じて関連するトランスクリプトオプションを有効にします

有人アクセスの場合:

  1. Splashtop Gatewayで**[設定] > [チーム設定] > [有人アクセス]**に移動します
  2. セッションセキュリティセクションまでスクロールします
  3. **「セッション内チャットトランスクリプトをセッションログに保存する」**を切り替えて、チャットトランスクリプトログ記録を有効にします
  4. 設定を保存します

セッショントランスクリプトを表示する方法

トランスクリプト保存が有効になると、Webコンソールのログセクションから保存されたトランスクリプトにアクセスできます。

チャットトランスクリプトを表示する:

  1. Webコンソールで**[ログ] > [チャット]**に移動します
  2. 技術者とリモートユーザー間の保存されたチャットトランスクリプトを確認します
  3. 必要に応じて日付、ユーザー、またはセッションでフィルタリングします

リモートコマンドトランスクリプトを表示する:

  1. Webコンソールで**[ログ] > [リモートコマンド]**に移動します
  2. リモートコマンド機能を介して実行されたすべてのコマンドを確認します
  3. 特定のコマンドを検索するか、期間でフィルタリングします

SSHトランスクリプトを表示する:

  1. Webコンソールで**[ログ] > [SSH]**に移動します
  2. 完全なSSHセッション端末入力/出力を確認します
  3. 日付、ユーザー、またはターゲットサーバーでトランスクリプトをフィルタリングします

使用例

  • サポート品質保証:チャットトランスクリプトを確認して、技術者が適切なサポートを提供していることを確認します
  • セキュリティ監査:SSHおよびリモートコマンドトランスクリプトを通じて特権コマンドの実行を監視します
  • コンプライアンス要件:規制コンプライアンスのためにすべてのリモートアクセスアクティビティの記録を維持します
  • インシデント調査:トランスクリプトを迅速に検索して、セキュリティインシデント中にどのようなアクションが実行されたかを特定します
  • トラブルシューティング:コマンド履歴を確認して、どのような操作が実行されたかを理解します

コンプライアンスと保持のベストプラクティス

保持ポリシーの定義

次に基づいて明確な保持ポリシーを確立します:

  • 規制要件(HIPAA、SOC 2、GDPR、PCI-DSSなど)
  • 業界標準
  • 組織のポリシー
  • ストレージ容量

定期的な監査レビュー

  • 監査ログと記録の定期的なレビューをスケジュールします
  • ログ監視の責任を割り当てます
  • レビュー手順を文書化します
  • 異常を調査して文書化します

アクセス制御

  • 監査ログと記録へのアクセスを承認された担当者のみに制限します
  • 監査機能のロールベースアクセス制御(RBAC)を実装します
  • 監査データへのすべてのアクセスをログに記録して説明責任を追加します

バックアップとアーカイブ

  • 監査ログ、記録、トランスクリプトを定期的にバックアップします
  • バックアップを安全な別の場所に保存します
  • 復元手順を定期的にテストします
  • 長期コンプライアンス保持のためのアーカイブソリューションを検討します

セキュリティ運用との統合

  • Splashtop監査データをセキュリティ監視ワークフローに組み込みます
  • 優先度の高いセキュリティイベントのアラートを設定します
  • インシデント対応手順にSplashtopログを含めます
  • 監査データを使用して脅威ハンティングとプロアクティブなセキュリティを実施します

 

1人中1人がこの記事が役に立ったと言っています

このセクションの記事