SIEMログ

Splashtopの履歴やセッションのイベント履歴をエクスポートして、お好みのSIEM(セキュリティ情報およびイベント管理)ソフトウェアでさらに詳しく分析できるようになりました。

要件: Splashtop Enterprise技術者ライセンス

サポートされている機能

対応しているデータフロー:

プッシュモード は、現在サポートされています。チーム履歴とさまざまな種類のセッション履歴のすべての変更は、SplashtopのプラットフォームからSIEMソフトウェアにプッシュされ、さらに詳しく調査できます。

エクスポートされるログ

  • チーム履歴
    • 操作方法 (my.splashtop.com/にログイン⇒「 履歴」
  • セッション履歴
    • 有人セッションと無人セッション
    • ファイル転送
    • 診断セッション
    • セッション外のファイル転送、チャット、リモートコマンドセッション
    • PSA統合
    • My Desktop共有のセッション

サポートされているSIEMツール

  • Splunk
  • Sumo Logic
  • その他

サポートされているログ形式

  • Splashtopの共通スキーマ
  • Elastic Common Schema
  • Splunkフォーマット

※:

  1. プル モードはまだサポートされていません。現時点では、 Splashtop Open API を使用してログを取得できます。
  2. エンドポイント管理機能(アラートプロファイル、システムインベントリなど)に関連する履歴は、まだSIEMツールにエクスポートするために利用できません。
  3. Splunk または Sumo Logic 以外の SIEM ツールの場合は、「統合:その他」を選択し、SIEMソリューションに応じたフィールドに情報を入力します。(my.splashtop.com/⇒「管理」⇒「SIEMログ」⇒「作成」)
Sumo Logicの設定

SplashtopのSIEMログ機能により、ユーザーは 自分の管理システムに履歴をエクスポートできるようになりました。 Sumo Logic のコンソールから コレクター を設定するには、以下の手順に従ってください。

1.Sumo Logic のコンソールにログインします。「データの管理]をクリックします。

2.ドロップダウンリストの下にある「コレクション」をクリックします。

sumo_console-1_en-us.png

3.コンソールの右上にある「コレクターの追加」をクリックします。

sumo_console_en-us.png

4.Hosted Collectorを選択します。

Collector_type_en-us.png

5.Hosted Collectorの情報を入力します。

collector_info_en-us.png

6.入力内容を確認し、「保存」します。

confirm_en-us.png

7.作成を確認したら、「HTTP Logs& Metrics」をクリックします。

http_en-us.png

8. HTTP Logs& Metrics の情報を完成させ、ソースを保存します。

HTTP_Logs_en-us.png

9.以降に使用するHTTP送信元アドレスコピーします。

source_address_en-us.png

10. my.splashtop.com にログインし、「管理」に移動して「SIEMログ」をクリックします。

SIEM_PCP_en-us.png

11.「作成」ボタンに移動し、「プッシュモード」をクリックします。

SIEM_PCP_create_en-us.png

12.統合の種類として、「Sumo Logic」を選択します。

13.URL欄にSumo Logic コンソールからコピーしたHTTP送信元アドレスを入力します。

14.最後に、「作成」をクリックします。これで、設定は完了です。

push_mode_app_en-us.png

設定が完了すると、Sumo Logicのダッシュボードに履歴情報を確認できます。

1.ホームページで「履歴検索」をクリックします。

dash_board_en-us.png

2.履歴情報を入力し、検索アイコンをクリックします。

log_search_en-us.png

3.履歴情報の結果が、ポップアップ表示されます。

example_en-us.png

Splunkの設定

Splunk Cloudプラットフォームで、「設定」⇒「データの追加」に移動します。

image-20220410-111133_en-us.png

「監視」⇒「HTTPイベントコレクター」を選択します。

image-20220410-111753_en-us.png

image-20220410-111950_en-us.png

情報を入力し、トークンのセットアップを選択します。

image-20220410-123109_en-us.pngimage-20220410-123221_en-us.png

image-20220410-123249_en-us.png

トークン作成後、トークン値をコピーし、(my.splashtop.com/my.splashtop.eu)にログインし、「管理」⇒「SIEMログ」に移動して、設定を完了します。

Snipaste_2022-04-10_21-16-52_en-us.png

image-20220410-123524_en-us.png

プッシュモードアプリを作成する時に、統合のドロップダウンで「Splunk」を選択します。

image-20220410-123620_en-us.png

そして、HECのURL情報とトークンの値を入力して、アプリを作成します。

image-20220410-125810_en-us.png

*HECのURLの場合:
Splunk Cloud Platform上のHTTP Event Collectorにデータを送信するには、HECの特定のURIを使用してデータを送信する必要があります。

  • Splunk Cloud Platform無料トライアルでのHEC URIの標準形式は次のとおりです。
    <protocol>://inputs.<host>:<port>/<endpoint>
  • Splunk Cloud PlatformのHEC URIの標準形式は、次のとおりです。
    <protocol>://http-inputs-<host>:<port>/<endpoint> 
  • Google CloudのSplunk Cloud PlatformでのHEC URIの標準形式は次のとおりです。
    <protocol>://http-inputs.<host>:<port>/<endpoint> 

※:

  • <protocol>は、httpまたはhttpsのいずれかです。
  • <host>の前にhttp-inputs- を追加する必要があります。
  • <host> は、HECを実行するSplunk Cloud Platformインスタンスです。
  • <port> は、HECのポート番号です。
    • Splunk Cloud Platformの無料トライアル「8088」です。

    • Splunk Cloud Platform インスタンスでは初期値「443」です。

  • <endpoint> は、使用するHECのエンドポイントです。
    多くの場合、services/collector/rawJavaScript Object Notation(JSON)形式のイベント、またはservices/collector/raw エンドポイントを使用できます。

 

設定完了後、「Source 'Splashtop'」を検索してSplunkの履歴情報を確認できます。

2021-11-26_11-02-35_en-us.png

 

サーバーをホストしている場合や、ログを収集するために他のツールを使用している場合はどうなりますか?また、どのように設定すればよいのですか?

弊社のSIEMアプリは、独自のサーバーや、他のツールへのログのプッシュもサポートしています。(例:LogScaleはユーザーによって動作が確認されています)。Web管理コンソール(my.splashtop.com/my.splashtop.eu)でアプリをセットアップし、以下の手順に従って情報を入力します。 

  • 名前:SIEM アプリ名
  • 統合その他を選択
  • URL: サーバーの URL または HEC の URL (HTTP Event Collector)
  • 認証トークン: オプション設定です。サービスがデータのヘッダー内のトークンをチェックするかどうかによって異なります。
  • ログ形式:ログを受信する形式を選択します。 (もし、1つが機能しない場合は、他のものをお試しください。)
プッシュされたログを許可するために、ファイアウォールでホワイトリストに登録する必要があるIPはありますか?(オプション)

通常、これを設定する必要があるのは、ログを受信するログサーバーをホストする場合のみです。クラウドバージョンのSplunk / Sumologic、またはその他のサードパーティのSIEMサーバーの場合、トラフィック管理を処理するのはそれらのサーバーです。

グローバルスタック

  • Web管理コンソール(以下のIPアドレスのページはSIEM プッシュモードアプリがテストトラフィックを送信するためのものです)
    • 54.153.1.100
    • 50.18.114.99
    • 35.164.11.141
    • 35.165.21.129
    • 52.37.98.151
  • ログサーバー
    • 13.52.208.170
    • 54.241.143.104
    • 44.238.4.189/32
    • 54.185.81.191/32

EUスタック

  • Web管理コンソール(以下のIPアドレスのページはSIEM プッシュモードアプリがテストトラフィックを送信するためのものです)
    • 3.66.52.43
    • 18.157.228.221
    • 18.158.148.33/32
  • ログサーバー
    • 3.74.33.104
    • 18.193.181.104

 

2人中1人がこの記事が役に立ったと言っています