セキュリティ イベント ダッシュボード
概要
組織の従業員は世界中に分散している場合、Druva でバックアップした関連データに組織内の許可された人だけがアクセスできるようにすることが重要です。これを実施しないでいると、内部関係者の脅威やランサムウェアの危険にさらされます。
Druva はセキュリティ イベント サービスを提供します。これは、すべての管理者ログイン イベント、データ アクセス イベント、API リクエスト、異常データ アクティビティ アラートの数を事前に表示し、必要に応じて是正措置を取るよう促すダッシュボードです。このデータはすべての Druva 製品からイベントを収集され、バックアップされたデータに関する状況認識を得られるようになります。
セキュリティ イベント ダッシュボード を表示するには、Druva Cloud 管理者である必要があります 。
セキュリティ イベント ダッシュボードには、次の情報が表示されます。
-
新しい場所からの管理者ログインと API リクエストの合計数
-
管理者およびinSyncクライアントユーザーによって実行される復元およびダウンロードのアクティビティ
-
管理者が Druva 管理コンソールにログインした場所。場所は、簡単に視覚的に参照できるように地図上に表示されます。より詳細な管理者の一覧と、ログイン アクティビティのより詳細な分析が行えます。
-
管理者により重要情報を含む API リクエストが行われた場所
-
生成された異常データ アクティビティ アラートの数
-
隔離されたエンドポイントとサーバーの数。カウントをクリックすると、隔離されたリソース一覧を表示できます。
デフォルトでは、過去 7 日間のデータが表示されます。期間を 7 日から 30 日に延長するオプションがあります。
2 つの異なる期間のデータを表示すると、その間に何か問題があったかどうかを特定できます。
セキュリティ イベント ダッシュボードを理解する
セキュリティ イベント ダッシュボードで表示できる詳細を見てみましょう。
アクセスイベント (Access Events)
このカードには、指定された期間に新しい地理的位置から行われた復元およびダウンロード アクティビティ、ログイン試行、API リクエストの合計数が表示されます。望ましくない場所からのデータ アクセス イベント、ログイン試行、API コールが発生する可能性があるため、新しい場所の追跡は重要です。管理者の監査証跡とユーザーの監査証跡を使用して、これら操作の試行を調査し、詳細を確認することをお勧めします。
Druva 管理者が Druva クラウド プラットフォームまたは管理コンソールにログインしようとすると、ログインに失敗してもログイン試行と見なされます。同様に、API コールが行われると、コールが失敗しても API 要求と見なされます。データの復元およびダウンロード イベントの場合、inSync クライアント ユーザーまたは管理者がアクティビティを開始するとすぐに、データへのアクセス試行と見なされます。
新しい場所とは、指定された期間内にログインや API リクエスト実施に使用されなかった IP アドレスのことです。
この情報の利点
- 管理コンソールへのログイン、APIの使用、inSyncクライアントの使用によって、管理者やユーザーがデータへのアクセスを試みた新しい地理的位置の数を理解すること。国名をクリックすると、データ アクセスが試みられたその国の都市を表示できます。各都市は黒い点で表されます。各都市名にカーソルを合わせると、その都市から生成されたイベントの数が表示されます。都市名をクリックすると、その都市のイベントの一覧が表示されます。
-
過去 30 日間と比較して、過去 7 日間にいずれかのイベントで急激な上昇があったかどうかを確認すること。あった場合は、データをさらに深く掘り下げて、すべてのイベントが本物のソースから生成されたかどうかを判断する必要があります。
データ アクセス イベント (Data Access Events)
次のアクティビティのいずれかが開始されると、 データ アクセス イベントと見なされます。
- 管理者が以下の場所からデータを復元またはダウンロードした場合
- inSync クライアント ユーザーが、inSync クライアントまたは inSync Web を使用してデータを復元またはダウンロードした場合。
inSync管理者がリーガルホールドデータをダウンロードするとき、およびinSync管理者がバルクエクスポートを行うときに生成されるイベントのサポートは、将来のリリースで計画されています。
マップの下には、選択した時間枠でデータ アクセス イベントを開始した管理者と inSync クライアント ユーザー (エンドポイントにのみ適用) の一覧があります。以下の種別のデータ アクセスがあります。
- Admin Restore: 管理者がデータ復元アクティビティを開始したことを示します。
- Admin Download: 管理者がデータ ダウンロード アクティビティを開始したことを示します。
- User Restore: inSync クライアント ユーザーが復元を開始したことを示します。
- User Download: inSync クライアントユーザーがダウンロードを開始したことを示します。
名前をクリックすると、選択した期間にその対象者によって開始されたすべてのイベントの詳細が表示されます。詳細ページには、開始されたアクティビティのステータスも表示されます。
この情報の利点
- 指定された期間内にバックアップされたデータへアクセスを試みたすべてのユーザーを把握すること。
実行できるアクション
- ユーザーのアクティビティの詳細を表示しているときに、不審な点が見つかった場合は、ユーザーのパスワードをリセットできます。[Manage User]ボタンをクリックして [User Details]ページに移動し、パスワードをリセットします。これにより、許可されていないユーザーがそのユーザーのデータにアクセスするのを防ぐことができます。
- 同様に、管理者の活動に不審な点があることに気付いた場合は、管理者のパスワードをリセットできます。[Manage Administrator] ボタンをクリックして [Admin Details]ページに移動し、パスワードをリセットします。
管理者ログイン イベント (Admin Login Events)
このカードには、Druva 管理者が 管理コンソールへのログインを試みた新しい場所の数が表示されます。マップには、追跡されたログイン試行の地理的位置が表示されます。
[Admin Details] を選択して、コンソールへのログインを少なくとも 1 回試行した Druva 管理者の数を表示できます。
コンソールへのログインを試みた管理者の一覧が、[Admin Login Events]セクションの下に表示されます。
この情報の利点
コンソールへのログインを 1 回以上試行した Druva 管理者を把握すること。一覧には、次の項目も表示されます。
- ジョブ ID (Job ID): ログイン試行時にシステムによって生成された ID を表示します。この ID を使用して、受信した電子メール アラートで試行を識別できます。
- IP アドレス (IP address): 管理者がログインに使用したデバイスの IP アドレス
- 場所 (Location): 管理者がログインを試みた都市と国
- ログイン結果 (Login Result): ログインが成功したか失敗したか
- ログイン時間 (Login Time): アクティビティのタイムスタンプ
実行できるアクション
- 不審な点が見つかった場合は、管理者の名前をクリックして、詳細なログイン アクティビティを表示します。
- この動作が異常であると思われる場合は、管理者の詳細ページで [Reset Password] ボタンをクリックして、管理者のパスワードをリセットします。
API リクエスト (API Requests)
このカードには、Druva 管理者が新しい場所から行った API リクエストの試行回数が表示されます。マップには、API リクエストが行われた新しい地理的位置が表示されます。
All Locationsを選択して、少なくとも 1 回行われた API リクエストの数を表示できます。
API リクエストの詳細と数は、API Requests セクションの下に表示されます。
この情報の利点
1 回以上実施された API リクエストが何なのかを把握すること。一覧には、次の項目も表示されます。
- クライアント ID (Client ID): その API 要求に使用される ID。クライアント ID (Client ID) と シークレット キー (Secret Key) は、ユーザー名とパスワードに相当します。有効な認証情報によってすべての Druva API へのアクセスを実施できるため、Druva 環境内に保存されているデータへのアクセスが行えます。
- クレデンシャル名 (Credential Name) : これらの API リクエストのクライアント ID を生成するために使用された名前。
- ユニークなIPアドレス数 (Unique IP Count) : API リクエストが行われた場所からの一意の IP アドレスの総数。
- 合計APIリクエスト (Total API Requests) : 関連付けられたクライアント ID を使用して行われた API リクエストの総数。
実行できるアクション
- 疑わしいものが見つかった場合は、クライアント ID の名前をクリックして、詳細なアクティビティを表示します。任意の IP アドレスをクリックして、各 API グループに対して行われた API リクエストの数を表示します。
- この動作が異常であると思われる場合は、クライアント ID 詳細ページで [Edit Credentials] ボタンをクリックして、API 認証情報の詳細を表示し、必要な措置を講じてください。
異常データ アクティビティ (Unusual Data Activity; UDA)
リソースに対する不審なデータ変更を、異常データ アクティビティ (UDA) と呼びます。たとえば、組織内のリソースが攻撃を受けている場合、リソース上の悪意のあるソフトウェアがリソースに存在するデータの削除を開始する可能性があります。
異常データ アクティビティ (UDA) と、Druva が UDA アラートをトリガーするために使用する検出メカニズムの詳細については、 異常データ アクティビティのトピックを参照してください。
異常データ アクティビティ アラートカードには、選択した時間範囲のすべての異常データ アクティビティ アラートの数が表示されます。カードをクリックして、生成されたアラートの詳細を表示します。
UDA アラートの詳細と数は、異常データ アクティビティ アラートの分布 セクションの下に表示されます。
デフォルトでは、エンドポイント (Endpoints) のアラートが表示されます。[Servers] をクリックすると、Windows/Linux ファイル サーバーおよび NAS リソースのアラートが表示されます。
この情報の利点
- Druva Realize がアラートを発報する原因となった異常データ アクティビティを理解すること。詳細については、「UDA アラートを表示する」を参照してください。
実行できるアクション
- アラートに対処する方法のオプションについては、「アラートに対してアクションを実行する」を参照してください。
隔離されたデバイス (Quarantined Devices)
このカードには、指定された期間内に隔離されたエンドポイントとサーバーの数が表示されます。
実行できるアクション
-
数字をクリックして、隔離されたリソースの一覧を表示します。さらに、ランサムウェアに感染したデバイス (Quarantine Bay > Endpoints) およびサーバー (Quarantine Bay > Servers) の一覧から誤検知を削除することもできます。デバイスが隔離された期間を編集することもできます。