Event Monitoring Analyticsの主要なダッシュボード
公開日: 2022.01.12
この記事で学べること
- イベントモニタリングに含まれる2種類のログのうち、Event Monitoring Analyticsは、イベントモニタリングを分析対象としていること
- Event Monitoring Analyticsで提供される主要なダッシュボードの使い方
イベントモニタリングに含まれる2種類のログの違い
イベントモニタリングライセンスには、以下2種類のログが含まれます。
- リアルタイムイベントモニタリング:セキュリティインシデントの発生ログとレコードへのアクセスログ
- イベントモニタリング:イベント発生 / エラー / パフォーマンス分析用のイベントログ
この2種類のログの違いの詳細については、以下の記事をご参照ください。
Event Monitoring Analyticsでは、イベントモニタリングのログからさまざまなダッシュボードが提供されています。
Event Monitoring Analyticsで提供される主要なダッシュボード
ここでは特にセキュリティ観点で優先的に確認することが好ましいと考えられるダッシュボードのついて記載をしています。
1.Login
不審なログイン傾向を把握するために確認します。
- Who Logs In the Most 折れ線グラフで不審な傾向(不自然なスパイク等)を評価 します。
- 不審なログインがあった場合、どういったユーザの動きであったか確認します。
以降のダッシュボードについては是非お手持ちの環境で画面を操作しながら確認をいただけます様お願いいたします。
2.Reports および Report Downloads
レポートの使用やエクスポートの傾向を把握するために確認します。
- Reportsダッシュボードの Report Trend by User折れ線グラフで不審な傾向を評価します。
- 不審なユーザがあった場合、ユーザ名やアクセスしたレポートを確認します。
- グラフ左上の [▼ボタン] | [調査] から [条件タブ] を開き、ORIGINやRENDERING_TYPEの値からどのようにレポートにアクセスされたかフィルタをかける事ができます。値の意味についてはディベロッパーサイトを確認します。
- レポートのエクスポートに特化して評価する際にはReport Downloads を利用します
3.Files
ファイルがどの様な取り扱いをされたか傾向を把握するために確認します。
- How Many File Transactions Are Occurring in My Org? 折れ線グラフで不審な傾向を評価します。値の意味については ディベロッパーサイトを確認します。
- 不審なトランザクションがあった場合、どういったファイルへのトランザクションがあったか、誰がトランザクションを発生させていたかを調査していきます。
4.Page View(URIs)
ユーザがどのIPからどのページへアクセスしたか傾向を把握するために確認します。
- Page View Trends By User 折れ線グラフで不審な傾向を評価 します。
- 不審なユーザの傾向があった場合、どにIPアドレスアクセスされたかをShared IPs By Userグラフから、どのページを見ていたかをPage Views By Userから確認します。
上記で代表的なダッシュボードの紹介をしてきましたが 2.Reports および Report Downloadsでも紹介した通り各グラフの左上に表示される ▼ボタン] | [調査] を選択することでより絞り込んだ条件で分析をすることができます。
そしてより絞り込んだ条件で表示されたグラフから、詳細を確認したい領域を選択した上で、画面左上の [テーブルモード] | [値テーブル] を選択することでデータセットの値を確認することもできます。
上記、確認観点や方法をご案内いたしました。ここで紹介した内容は一般的に必要と考えられる内容を記載したものですので、貴社において必要と考えられる観点がありましたら、積極的に調査観点を追加していただきたく存じます。
まとめ
不審な傾向を把握するためには通常の傾向を把握しておくことが重要です。定期的にダッシュボードを確認し組織の動きの傾向把握をぜひとも実施くださいます様お願いいたします。
公開日: 2022.01.12
この情報は役に立ちましたか?
ご意見お待ちしております。
フィードバックありがとうございます。
より役に立つために
役に立たなかった一番の理由を教えてください。