アラートやその他のアクティビティに関するレポートの生成

Workload Securityでは、PDFまたはRTF形式のレポートが生成されます。ほとんどのレポートには、日付範囲、コンピュータグループ別のレポートなどの設定可能なパラメータがあります。パラメータのオプションは、それらが適用されないレポートの場合は無効になります。ワンタイムレポート( 単一レポートの設定を参照)を設定するか、定期的にレポートを実行するようにスケジュールを設定できます( 予約レポートの設定を参照してください)。

単独レポートを設定する

  1. Workload Security コンソールで、[ イベントとレポート ]タブに移動し、左側のペインで[ レポート]→[単一レポート]を生成します。。
  2. [レポート] リストで、生成するレポートの種類を選択します。使用している保護モジュールに応じて、次のレポートを利用可能です。

    • アラートレポート: 最も一般的なアラートのリスト
    • 不正プログラム対策レポート: 上位25台の感染コンピュータのリスト
    • 攻撃レポート: 分析アクティビティの概要表(モード別)含まれるものの詳細については、、攻撃レポートについてを参照してください。
    • AWS従量課金レポート: AWS Metered Billingの1か月あたりの消費量(インスタンスサイズ別)の概要表
    • Azure従量課金レポート: Azure Metered Billingの1日あたりの消費量(インスタンスサイズ別)の概要表
    • コンピュータレポート: [コンピュータ] タブに表示される各コンピュータの概要
    • 侵入防御ルールの推奨状況レポート: 侵入防御ルールの推奨設定。このレポートは、一度に1つのセキュリティポリシーまたはコンピュータでのみ実行できます。
    • ファイアウォールレポート: ファイアウォールルールおよびステートフル設定アクティビティの記録
    • コンピュータフォレンジックス監査レポート: コンピュータ上のAgentの設定
    • 変更監視ベースラインレポート: 特定の時間におけるコンピュータのベースライン (タイプ、キー、フィンガープリントの日付)
    • 変更監視の詳細な変更レポート: 検出された変更についての詳細
    • 変更監視レポート: 検出された変更の概要
    • 侵入防御レポート: 侵入防御ルールアクティビティの記録
    • セキュリティログ監視の詳細レポート: 収集されたログデータの詳細
    • セキュリティログ監視レポート: 収集されたログデータの概要
    • 推奨設定レポート: 推奨設定の検索アクティビティの記録
    • 推奨設定の概要レポート: Workload Securityアクティビティのまとめ
    • セキュリティモジュールの使用状況レポート:クラウドアカウント別消費時間内訳
    • 不審なアプリケーション活動レポート: 不審なアクティビティについての情報
    • システムイベントレポート: システムアクティビティ (セキュリティ以外) の記録
    • ユーザおよび連絡先レポート: ユーザと連絡先の内容およびアクティビティの詳細
    • Webレピュテーションレポート: Webレピュテーションイベントの多いコンピュータのリスト
  3. レポートの [形式] で、PDFまたはRTFのどちらかを選択します。(「セキュリティモジュール使用状況レポート」は除外設定であり、常にCSVファイルとして出力されます。)

  4. PDFまたはRTFのレポートには、オプションで分類を追加することもできます。分類には、「空白」、「TOP SECRET」、「SECRET」、「CONFIDENTIAL」、「FOR OFFICIAL USE ONLY」、「LAW ENFORCEMENT SENSITIVE (LES)」、「LIMITED DISTRIBUTION」、「UNCLASSIFIED」、「INTERNAL USE ONLY」があります。
  5. [タグ] エリアで、イベントタグを使用してレポートをフィルタできます (イベントデータを含むレポートを選択した場合)。[すべて] はすべてのイベントを、[タグなし] はタグ付けされていないイベントのみを、[タグ] を選択して1つ以上のタグを指定すると指定したタグを含むイベントのみを、それぞれレポートに含めることができます。

複数の矛盾するタグを適用すると、タグが組み合わさるのではなく、相互に影響を及ぼしてしまいます。たとえば、[ユーザのログオン] と [ユーザのログオフ] を選択すると、システムイベントが発生しません。

  1. [期間] エリアで、ログの記録期間を任意に設定できます。これは、セキュリティ監査に役立ちます。期間のオプションは次のとおりです。

  2. 過去24時間: 過去24時間のイベントが含まれます。正時 (0分0秒) に記録を開始および終了します。たとえば、12月5日の午前10:14にレポートを生成した場合、12月4日の午前10:00から12月5日の午前10:00の間に発生したイベントのレポートが作成されます。

  3. 過去7日間: 過去1週間のイベントが含まれます。週の開始時刻と終了時刻は午前0時(00:00)です。たとえば、12月5日の午前10:14にレポートを生成する場合、11月28日の午前00:00から12月5日の午前00:00の間に発生したイベントのレポートが作成されます。
  4. 前月: 午前0時から開始される暦月の最後の暦月のイベントが含まれます。たとえば、11月15日にこのオプションを選択すると、10月1日の0時から11月1日の0時までに発生したイベントのレポートが送信されます。
  5. カスタム範囲: 任意の日付と時刻の範囲をレポートに指定できます。レポートでは、開始日が3日以上前の場合、開始時間が深夜0時に変更される可能性があります。

レポートには、カウンタに保存されたデータが使用されます。カウンタは、イベントから定期的に集計されたデータです。カウンタのデータは、最新の3日間は時間単位で集計されます。現在の時間のデータはレポートに含まれません。3日よりも古いデータは日単位で集計されてカウンタに保存されます。そのため、レポートでカバーされる期間は、最新の3日に関しては時間単位で指定できますが、3日より前になると日単位のみ指定可能になります。

  1. [コンピュータ] エリアで、データをレポートに含めるコンピュータを選択します。

  2. すべてのコンピュータ: Workload Securityのすべてのコンピュータ

  3. マイコンピュータ: 特定のコンピュータのみの表示権限がある場合は、このオプションを選択すると、表示できるすべてのコンピュータが対象となります。
  4. グループ内の:** Workload Security グループ内のコンピュータ。
  5. 使用ポリシー: 選択したポリシー (およびオプションでそのサブポリシー) を使用しているコンピュータに、レポートの対象を限定できます。
  6. コンピュータ: レポートの対象を、選択した1台のコンピュータに限定できます。

複数のコンピュータグループから特定のコンピュータに関するレポートを生成するには、まず該当するコンピュータのみの閲覧権限があるユーザを作成し、「すべてのコンピュータ」レポートを定期的に生成する予約タスクを作成するか、作成したユーザでログオンして「すべてのコンピュータ」レポートを実行します。レポートには、そのユーザが閲覧できるコンピュータのみが記載されます。

  1. [暗号化] エリアで、現在ログインしているユーザのパスワードか、レポートごとに設定された新規パスワードでレポートを保護できます。

  2. レポートのパスワードの無効化: レポートはパスワードで保護されません。

  3. 現在のユーザのレポートのパスワードを使用: 現在のユーザのPDFレポートのパスワードを使用します。ユーザのPDFレポートのパスワードを表示または変更するには、[管理]→[ユーザ管理]→[ユーザ]→[プロパティ]→[設定]→[レポート] に進みます。
  4. カスタムレポートのパスワードの使用: このレポートのワンタイムパスワードを作成します。パスワードに複雑さの要件はありません。

予約レポートを設定する

予約レポートとは、レポートを任意の数のユーザおよび連絡先に定期的に生成して配信する予約タスクです(この機能は「定期レポート」と呼ばれていました)。

予約レポートを設定するには、[ Events&Reports ]タブに移動し、左側のペインで[ Generate Reports]→[Scheduled Reports]の順にクリックします。[新規] をクリックします。新規予約タスクウィザードが開き、手順に従って設定プロセスを実行できます。ほとんどのオプションは前述の単独レポートと同じですが、[期間] オプションだけは例外です。

  • 過去 [N] 時間: [N] に60未満の値を指定した場合、開始時刻と終了時刻は指定した時間の正時となります。[N] に60より大きな値を指定すると、指定した期間の開始時のデータは時間単位で集計されていないため、レポートの開始時刻は開始日の深夜0時 (00:00) に変更されます。
  • 過去 [N] 日間: [N] 日前の深夜0時から現在の日付の深夜0時までのデータがレポートされます。
  • 過去 [N] 週間: 過去 [N] 週間のイベントがレポートされます。開始および終了時刻は深夜0時 (00:00) です。
  • 過去 [N] か月間: 過去 [N] か月間の暦月のイベントがレポートされます。開始および終了時刻は深夜0時 (00:00) です。たとえば、11月15日に「過去1か月間」を選択すると、10月1日の0時から11月1日の0時までに発生したイベントのレポートが送信されます。

レポートには、カウンタに保存されたデータが使用されます。カウンタは、イベントから定期的に集計されたデータです。カウンタのデータは、最新の3日間は時間単位で集計されます。現在の時間のデータはレポートに含まれません。3日よりも古いデータは日単位で集計されてカウンタに保存されます。そのため、レポートでカバーされる期間は、最新の3日に関しては時間単位で指定できますが、3日より前になると日単位のみ指定可能になります。

予約タスクの詳細については、 Schedule Workload Security を参照して、タスクを実行してください。

Workload Security {Usage}の請求および使用状況を確認する

  1. Workload Security コンソールで、[ イベントとレポート]→[レポートの生成]→[ 単一レポート]の順に選択します。
  2. レポート リストから、 AWSメジャー課金レポート または Azureメータード課金レポートを選択します。

    支払いを使用して料金を使用している場合に、個々のクラウドアカウント別にコストを割り出す方法を探している場合は、 Security Module Usage Reportを選択します。このレポートには、クラウドアカウント別の消費時間の詳細が表示されます。

  3. Time Filter 領域から、使用状況データを表示する期間を選択します。

  4. [ Generate]をクリックします。

トラブルシューティング:予約レポートの送信に失敗しました

Workload Securityでは、通常のレポートをスケジュールしてメールで送信できますが、メールのサイズは20MBを超えることはできません。そうしないとメールは送信されません。イベント&レポート ページで、対応する「メール失敗」イベントが発生し、エラーメッセージ、メール件名、およびメール送信先情報が表示されます。

メッセージのサイズが制限を超えているためにレポートのメールが送信されない場合は、時間の範囲を短くするか、グループまたはポリシーで対象コンピュータをフィルタすることで、レポートをサブレポートに分けます。