【CyberArk PAM】第8回 CyberArk PAMを使って特権IDの行動を監視&監査してみた

【CyberArk PAM】第8回 CyberArk PAMを使って特権IDの行動を監視&監査してみた

with コメントはまだありません
みなさんこんにちは!
CyberArkチームのIkemoです!
今回もCyberArk PAMについて紹介します!

第8回ではユーザーが行った操作の監査・監視を行います。

PAMでは、PSMを介して接続をした場合、操作ログを動画とテキストで確認が可能です。
またPAMへのログイン等の活動状況ログを確認することができます。

監視&監査の流れをイラストで見てみましょう。
監視者はリアルタイムでの監視をはじめ、動画やテキストで保存された操作ログを確認することができます。これにより、ユーザーがどのような操作をしたかの履歴を、詳細に確認することができます。

それでは実際、どのように保存され確認ができるのかを一緒に見ていきましょう。

 

操作のログを動画とテキストで確認してみる

PAMを経由して行った操作は録画され、動画とテキストで保存されます。
今回はLinuxの操作のログとWindowsの操作のログをそれぞれ確認していきます。

まずはLinuxから確認していきましょう。

 

録画の一覧はPVWAから確認できます。


監視画面で録画の一覧が確認できました。

録画の一覧から、Linuxアカウントのログを選び「再生」すると…


再生ダイアログが開き、左側にコマンドのログ、右側に動画の録画が再生されます。

 

次にWindowsアカウントのログを「再生」して確認してみます。
左側にどのアプリケーションを使っていたかのログ、右側に動画の録画が出ているのが確認できます。


 

これでサーバーの操作ログが録画され、動画とテキストで操作を確認できることがわかりました。

 

セッションのリアルタイムモニタリング

前章では過去のセッション録画を再生しましたが、
過去の録画だけでなく、リアルタイムで行われている操作も確認できます。

「アクティブなセッション」タブ > 「監視」からRDPファイルをダウンロードし実行すると…


セッションの操作をリアルタイムでモニタリングすることができます。


また、リアルタイム監視中に不審な行動をした場合、セッションを停止・切断することができます。



 

ユーザーの活動状況の監査をしてみる

最後に、ユーザーがPVWA上でどのような活動をしたのか、アカウントが誰によって利用されたのかを監査していきたいと思います。

操作ログは、アカウント操作の詳細なログで、PVWA自体へのログイン情報などは基本的には含まれていません。PVWAへのログインや設定変更などのPAS上での活動の監査は「活動状況」のログを確認して行います。

アカウント「localadmin20」の活動状況を確認します。


ユーザー「Administrator」がこのアカウントに接続したログ、admin01がそのセッションを切断したログが確認できます。

また、画面右上のフィルターによって利用者や操作でフィルターをかけることができます。
例) ユーザー> 「windowsUser01」


 

次に各ユーザーの活動状況を確認してみます。

PVWAでは「レポート」機能を使い、ユーザーの活動状況をエクセルやCSV形式で出力することができます。

では実際に確認してみましょう



ユーザー名やアカウント名、ログの期間など、レポートに出力したい項目でフィルターを指定し出力します。



出力されたものをダウンロードして確認してみましょう。



これでアカウントやユーザーのPVWA上での活動状況の監査ができることが確認できました。

 

今回はアカウント利用の監視・監査をしてみました。

ユーザーの活動状況を確認することで、どのアカウントがいつ利用されたのか確認でき、

操作のログは動画で保存されるため、より詳細な操作ログが取得できます。

 

次回はPTAというコンポーネントにより、不審な操作を自動で検知・修正を行ってみます。

最後に

システムサポートでは特権ID管理対策として、CyberArk製品の導入検討・導入支援・運用支援を
サポートしています。
CyberArk製品の導入を検討しており、気になることや提案・見積もり依頼などありましたら
是非こちらからお問い合わせください。

本記事はいかがでしたか?

Follow Ikemo:

株式会社システムサポート BSX事業部所属 2022年新卒入社 CyberArk製品の導入やPowerPlatform開発を担当してます。