Splashtopの履歴やセッションのイベント履歴をエクスポートして、お好みのSIEM(セキュリティ情報およびイベント管理)ソフトウェアでさらに詳しく分析できるようになりました。
対応しているデータフロー:
プッシュモード は、現在サポートされています。チーム履歴とさまざまな種類のセッション履歴のすべての変更は、SplashtopのプラットフォームからSIEMソフトウェアにプッシュされ、さらに詳しく調査できます。
エクスポートされるログ
-
チーム履歴
- 操作方法 (my.splashtop.com/にログイン⇒「 履歴」)
-
セッション履歴
- 有人セッションと無人セッション
- ファイル転送
- 診断セッション
- セッション外のファイル転送、チャット、リモートコマンドセッション
- PSA統合
- My Desktop共有のセッション
サポートされているSIEMツール
- Splunk
- Sumo Logic
- その他
サポートされているログ形式
- Splashtopの共通スキーマ
- Elastic Common Schema
- Splunkフォーマット
※:
- プル モードはまだサポートされていません。現時点では、 Splashtop Open API を使用してログを取得できます。
- エンドポイント管理機能(アラートプロファイル、システムインベントリなど)に関連する履歴は、まだSIEMツールにエクスポートするために利用できません。
- Splunk または Sumo Logic 以外の SIEM ツールの場合は、「統合:その他」を選択し、SIEMソリューションに応じたフィールドに情報を入力します。(my.splashtop.com/⇒「管理」⇒「SIEMログ」⇒「作成」)
SplashtopのSIEMログ機能により、ユーザーは 自分の管理システムに履歴をエクスポートできるようになりました。 Sumo Logic のコンソールから コレクター を設定するには、以下の手順に従ってください。
1.Sumo Logic のコンソールにログインします。「データの管理]をクリックします。
2.ドロップダウンリストの下にある「コレクション」をクリックします。
3.コンソールの右上にある「コレクターの追加」をクリックします。
4.Hosted Collectorを選択します。
5.Hosted Collectorの情報を入力します。
6.入力内容を確認し、「保存」します。
7.作成を確認したら、「HTTP Logs& Metrics」をクリックします。
8. HTTP Logs& Metrics の情報を完成させ、ソースを保存します。
9.以降に使用するHTTP送信元アドレスをコピーします。
10. my.splashtop.com にログインし、「管理」に移動して「SIEMログ」をクリックします。
11.「作成」ボタンに移動し、「プッシュモード」をクリックします。
12.統合の種類として、「Sumo Logic」を選択します。
13.URL欄にSumo Logic コンソールからコピーしたHTTP送信元アドレスを入力します。
14.最後に、「作成」をクリックします。これで、設定は完了です。
設定が完了すると、Sumo Logicのダッシュボードに履歴情報を確認できます。
1.ホームページで「履歴検索」をクリックします。
2.履歴情報を入力し、検索アイコンをクリックします。
3.履歴情報の結果が、ポップアップ表示されます。
Splunk Cloudプラットフォームで、「設定」⇒「データの追加」に移動します。
「監視」⇒「HTTPイベントコレクター」を選択します。
情報を入力し、トークンのセットアップを選択します。
トークン作成後、トークン値をコピーし、(my.splashtop.com/my.splashtop.eu)にログインし、「管理」⇒「SIEMログ」に移動して、設定を完了します。
プッシュモードアプリを作成する時に、統合のドロップダウンで「Splunk」を選択します。
そして、HECのURL情報とトークンの値を入力して、アプリを作成します。
*HECのURLの場合:
Splunk Cloud Platform上のHTTP Event Collectorにデータを送信するには、HECの特定のURIを使用してデータを送信する必要があります。
- Splunk Cloud Platform無料トライアルでのHEC URIの標準形式は次のとおりです。
<protocol>://inputs.<host>:<port>/<endpoint>
- Splunk Cloud PlatformのHEC URIの標準形式は、次のとおりです。
<protocol>://http-inputs-<host>:<port>/<endpoint>
-
Google CloudのSplunk Cloud PlatformでのHEC URIの標準形式は次のとおりです。
<protocol>://http-inputs.<host>:<port>/<endpoint>
※:
- <protocol>は、
http
またはhttps
のいずれかです。 - <host>の前に
http-inputs-
を追加する必要があります。 - <host> は、HECを実行するSplunk Cloud Platformインスタンスです。
- <port> は、HECのポート番号です。
-
Splunk Cloud Platformの無料トライアル「8088」です。
-
Splunk Cloud Platform インスタンスでは初期値「443」です。
-
- <endpoint> は、使用するHECのエンドポイントです。
多くの場合、services/collector/raw
JavaScript Object Notation(JSON)形式のイベント、またはservices/collector/raw
エンドポイントを使用できます。
設定完了後、「Source 'Splashtop'」を検索してSplunkの履歴情報を確認できます。
弊社のSIEMアプリは、独自のサーバーや、他のツールへのログのプッシュもサポートしています。(例:LogScaleはユーザーによって動作が確認されています)。Web管理コンソール(my.splashtop.com/my.splashtop.eu)でアプリをセットアップし、以下の手順に従って情報を入力します。
- 名前:SIEM アプリ名
- 統合:その他を選択
- URL: サーバーの URL または HEC の URL (HTTP Event Collector)
- 認証トークン: オプション設定です。サービスがデータのヘッダー内のトークンをチェックするかどうかによって異なります。
- ログ形式:ログを受信する形式を選択します。 (もし、1つが機能しない場合は、他のものをお試しください。)
通常、これを設定する必要があるのは、ログを受信するログサーバーをホストする場合のみです。クラウドバージョンのSplunk / Sumologic、またはその他のサードパーティのSIEMサーバーの場合、トラフィック管理を処理するのはそれらのサーバーです。
グローバルスタック
- Web管理コンソール(以下のIPアドレスのページはSIEM プッシュモードアプリがテストトラフィックを送信するためのものです)
- 54.153.1.100
- 50.18.114.99
- 35.164.11.141
- 35.165.21.129
- 52.37.98.151
- ログサーバー
- 13.52.208.170
- 54.241.143.104
- 44.238.4.189/32
- 54.185.81.191/32
EUスタック
- Web管理コンソール(以下のIPアドレスのページはSIEM プッシュモードアプリがテストトラフィックを送信するためのものです)
- 3.66.52.43
- 18.157.228.221
- 18.158.148.33/32
- ログサーバー
- 3.74.33.104
- 18.193.181.104