Privileged Access Manager Server Control の監査対象
CA PAM の監査対象のアクティビティについて説明します。
capamsc141
セキュリティ監査では、
CA Privileged Access Manager
は、データベースに定義されている監査ルールと、監査の適用モードに従って、インターセプトされたイベントの監査レコードを保持します。監査ログのレコードは、これらの監査ルールに従って蓄積されます。完全監査では、以下の種類のインターセプト イベントの監査レコードが提供されます。
- ファイル アクセス(FILE クラス)
- プログラム実行(PROGRAM クラス)
- レジストリ アクセス(REGKEY および REGVAL クラス)
- 代理実行コントロール(SURROGATE クラス)
- ネットワーク コントロール(CONNECT、TCP、HOST、GHOST、HOSTNET および HOSTNP クラス)
- ログイン(TERMINAL クラス)インターセプトされたログイン イベントはキャッシュされません。これらのイベントは、インターセプト イベントの監査プロセスに従って処理されます。
- サービス保護(WINSERVICE クラス)
- パスワード確認失敗(PASSWORD クラス)
- プロセス終了(PROCESS クラス)
イベントをログに記録するかどうかは、
CA Privileged Access Manager
のインターセプト モードによって決まります。ログイン インターセプトの制限
Windows のログイン インターセプトは、
CA Privileged Access Manager
のサブ認証方式でのみサポートされています。カーネルを介してログイン インターセプトを設定することはできません。結果として、以下の点を考慮します。
- サブ認証コンポーネントはドメイン コントローラ(DC)レベルで動作するため、ユーザのログイン イベントを認証(および、CA Privileged Access Managerのサブ認証モジュールをトリガ)する DC の決定は OS に応じて異なります。Windows ドメイン環境では、製品は DC ごとにインストールする必要があります。Windows ドメイン環境で動作する場合、CA Privileged Access Managerのログイン ポリシー(TERMINAL ルール)を DC 上に配置する必要があり、ターゲット サーバ上に配置する必要はありません。たとえば、Windows ドメインに参加しているが DC ではないファイル サーバで、ドメイン ユーザのログイン イベントを保護または監査するには、CA Privileged Access Managerのログイン ポリシーを、ターゲット ファイル サーバ上ではなく、DC 上で定義します。これは、ドメイン ユーザが共有ファイル ディレクトリにアクセスしたときに、ファイル サーバ上ではなく、DC 上でログイン認証が発生することに起因します。
- 複数の DC が存在する場合、CA Privileged Access Managerのログイン認証はいずれかの DC 上で処理されます。そのため、CA Privileged Access Managerログイン ポリシーをすべての DC 間で同期することをお勧めします。次のいずれかの方法で、この同期を実装できます。
- Policy Model メカニズム(すべての DC が PMDB のサブスクライバに該当)を使用する方法
- すべての DC をホスト グループに追加し、拡張ポリシー管理に基づいて共通のポリシーをデプロイする方法
- ログイン イベントに対応するユーザ プロパティは、実行時(イベント認証中)に更新される場合があります。該当するプロパティについては、同期外れが発生します。これは、ログイン認証がいずれか 1 つの DC でのみ実行されることに起因します。上記に該当するプロパティはGracelogins、Last accessed、およびLast access timeです。ただし、CA Privileged Access Managerのサブ認証はすべての DC ではなく、いずれか 1 つの DC でのみ実行されるため、ユーザのプロパティLast access timeの値は DC 間で異なることになります。
- ローカル ユーザ(ドメイン ユーザ以外)にログイン イベントを適用するには、ローカル ユーザがアクセスする必要があるローカル コンピュータにCA Privileged Access Managerをインストールします。これは、ローカル コンピュータがドメイン コンピュータとして使用されるためです(ドメインがローカル コンピュータ)。
- リモート デスクトップ プロトコル(RDP)/ターミナル サービスの ログイン イベントは、以前のバージョンのCA Privileged Access Managerと同様に、ターゲット サーバに対して適用されます。ただし、RDP ログイン イベントの場合、CA Privileged Access Managerログイン ポリシーはターゲット サーバ上で定義する必要があります。
Full Enforcement モードでの CA Privileged Access Manager の監査の対象
CA Privileged Access Manager
の監査の対象Full Enforcement モード(通常操作)では、
CA Privileged Access Manager
は以下のようにイベントをログに記録します。- インターセプトされたリソースの警告モードがオフの場合、CA Privileged Access Managerは、リソースまたはユーザのauditプロパティに基づいて、ルールを適用し、イベントをログに記録します。
audit プロパティ | ログに記録されるイベント |
すべて | すべて |
SUCCESS | 許可されたアクセス |
FAIL | アクセス拒否 |
- インターセプトされたリソースの警告モードがオンの場合、アクセス ルールに違反するアクセス要求があると、レコードが監査ログに書き込まれます(ルールが適用されていると、要求は失敗します)。この監査レコードには、警告モードが有効なため違反が許可されたことが記述されます。このモードでは、ルールは適用されません。
Audit Only モードでの CA Privileged Access Manager の監査の対象
CA Privileged Access Manager
の監査の対象Audit Only モードでは、
CA Privileged Access Manager
は認証の要求を処理せず、ルールも適用しません。アクセサのすべてのインターセプト ログイン イベントおよび CA Privileged Access Manager
によって保護されているリソースのすべてのインターセプト イベントは、アクセスが失敗したか成功したかに関係なく、ログに記録されます。CA Privileged Access Manager が監査ログに書き込む内容を変更する方法
CA Privileged Access Manager
が監査ログに書き込む内容を変更する方法CA Privileged Access Manager
が監査ログに書き込む内容は、以下の 2 つの方法で変更できます。- リソースまたはアクセサの AUDIT プロパティを使用して、CA Privileged Access Managerが監査ログに書き込む監査イベントを定義します。GROUP または XGROUP の AUDIT プロパティを使用して、グループのすべてのメンバに監査プロパティを設定することができます。ただし、ユーザの監査モードが USER レコード、XUSER レコード、またはプロファイル グループに定義されている場合は、AUDIT プロパティを使用してグループ メンバに監査モードを設定することはできません。
- 監査構成ファイル audit.cfg を使用して、CA Privileged Access Managerが監査ログに送信するイベントをフィルタします。audit.cfg ファイルを使用して監査ログにイベントを追加することはできません。
監査レコードの数を減らすために、ログ ファイルに書き込まれる連続した監査イベントを制御することもできます。このカスタマイズの基準は、連続して一致する監査イベント間の時間間隔です。つまり、同じプロセス ID、スレッド ID、ルール ID、およびアクセス マスクを持つリソースへのアクセスを試行します。この時間間隔(秒単位)を設定するには、AuditRefreshPeriod レジストリ エントリの値を設定します。デフォルトでは、AuditRefreshPeriod は 0(ゼロ)に設定されます。つまり、すべてのイベントがログ ファイルに記録されます。
監査ルールの設定
セキュリティ監査のために、
CA Privileged Access Manager
では、データベースに定義されている監査ルールに基づいて、アクセス拒否およびアクセス許可のイベントに関する監査レコードが保持されます。すべてのアクセサおよびリソースに AUDIT プロパティがあり、このプロパティでは以下の 1 つ以上の値を設定できます。
- FAILアクセサによるリソースへの失敗したアクセスをログに記録します。
- SUCCESSアクセサによるリソースへの成功したアクセスをログに記録します。
- LOGINFAILアクセサによる失敗したすべてのログインをログに記録します(この値はリソースには適用されません)。パスワード試行イベント(A LOGIN)とログイン イベント(P/D/W LOGIN)の 2 つのログイン イベント タイプが利用可能です。詳細については、「リファレンス ガイド」を参照してください。パスワード試行イベントは、UNIX でのみ有効です。
- LOGINSUCCESSアクセサによる成功したすべてのログインをログに記録します(この値はリソースには適用されません)。
- すべてアクセサの FAIL、SUCCESS、LOGINFAIL、および LOGINSUCCESS、またはリソースの FAIL および SUCCESS と同じ情報をログに記録します。
- NONEアクセサまたはリソースに関して、ログに何も記録しません。
データベースにアクセサまたはリソース レコードを作成または更新する場合はいつでも、AUDIT プロパティを指定できます。また、ログに記録されたイベントを電子メールで通知するかどうか、通知する場合は誰に通知するかを指定することもできます。
監査ログのレコードは、これらの監査ルールに従って蓄積されます。イベントをログに記録するかどうかは、以下の状況に基づいて決定されます。
- リソースまたはアクセサに AUDIT(ALL) 属性が割り当てられている場合、そのアクセサのすべてのログイン イベント、およびCA Privileged Access Managerで保護されているリソースに関するすべてのイベントがログに記録される。これは、アクセスが失敗したか成功したかに関係なく、ログに記録されます。
- CA Privileged Access Managerで保護されているリソースへのアクセスが成功し、アクセサまたはリソースに AUDIT(SUCCESS) がある場合は、そのイベントがログに記録される。
- CA Privileged Access Managerで保護されているリソースへのアクセスが失敗し、アクセサまたはリソースに AUDIT(FAIL) がある場合は、そのイベントがログに記録される。
さらに、ユーザをトレース可能に設定した場合、そのユーザにトレース レコードが書き込まれるたびに、対応する監査レコードは監査ログに書き込まれます。
CA Privileged Access Manager が監査ログに書き込む監査イベントの定義
CA Privileged Access Manager
が監査ログに書き込む監査イベントの定義CA Privileged Access Manager
は、アクセスの成功および失敗を監査ログに書き込みます。CA Privileged Access Manager
が監査ログに書き込むアクセス イベントを定義するには、監査対象のリソースまたはアクセサの AUDIT プロパティの値を変更します。この方法を使用して、CA Privileged Access Manager
がすべてのトレース イベントを監査ログに記録するように指定することもできます。AUDIT プロパティを使用して、
CA Privileged Access Manager
が監査ログに書き込む監査イベントを指定します。selang または CA Privileged Access Manager
エンドポイント管理を使用して、以下のようにリソースおよびアクセサに AUDIT プロパティを設定します。AUDIT の値 | CA Privileged Access Manager がログに記録する内容 | 適用可能なオブジェクト |
FAIL | アクセスの失敗 | ユーザおよびリソース |
SUCCESS | アクセスの成功 | ユーザおよびリソース |
LOGINFAIL | ログインの失敗 | ユーザ |
LOGINSUCCESS | ログインの成功 | ユーザ |
すべて | FAIL、SUCCESS、LOGINFAIL、LOGINSUCCESS、および INTERACTIVE に相当 | ユーザおよびリソース |
TRACE | ALL およびすべてのシステム イベントに相当 | ユーザ |
INTERACTIVE | UNIX コンピュータ上のユーザ セッション | ユーザ |
NONE | ログへの記録を行わない | ユーザおよびリソース |
ユーザの監査プロパティが設定されていない場合、グループまたはプロファイル グループの AUDIT の値が、そのユーザに対して
CA Privileged Access Manager
が使用する監査モードに影響をおよぼします。CA Privileged Access Manager がユーザの監査モードを決定する方法
CA Privileged Access Manager
がユーザの監査モードを決定する方法ユーザの監査モードは、そのユーザに対するどの監査イベントを
CA Privileged Access Manager
が監査ログに送信するかを指定します。以下のプロセスでは、CA Privileged Access Manager
がユーザの監査モードを決定する方法について説明します。- CA Privileged Access Managerは、USER クラスまたは XUSER クラスのユーザのレコードに AUDIT プロパティの値があるかどうかをチェックします。ユーザのレコードに AUDIT プロパティの値がある場合、CA Privileged Access Managerはその値をユーザの監査モードとして使用します。
- CA Privileged Access Managerは、ユーザがプロファイル グループに割り当てられているかどうかを確認します。ユーザがプロファイル グループに割り当てられている場合、CA Privileged Access Managerは GROUP クラスにある、そのプロファイル グループのレコードに AUDIT プロパティの値が含まれているかどうかをチェックします。ユーザがプロファイル グループに割り当てられていて、そのプロファイル グループのレコードに AUDIT プロパティの値がある場合、CA Privileged Access Managerは、その値をそのユーザの監査モードとして使用します。
- CA Privileged Access Managerは、ユーザがグループのメンバであるかどうかを確認します。ユーザがグループ メンバである場合、CA Privileged Access Managerは GROUP または XGROUP クラスのグループのレコードに AUDIT プロパティの値があるかどうかをチェックします。ユーザがグループのメンバであり、そのグループのレコードに AUDIT プロパティの値がある場合、CA Privileged Access Managerは、その値をそのユーザの監査モードとして使用します。ユーザがグループのメンバではないか、またはグループのレコードに AUDIT プロパティの値がない場合、CA Privileged Access Managerはシステム全体の監査モードをユーザに割り当てます。ユーザが複数のグループのメンバであり、グループごとに異なる監査モードがある場合、ユーザの監査モードは蓄積されます。ユーザの監査モードは、メンバであるグループのすべての監査モードの合計です。
CA Privileged Access Manager
がグループの AUDIT プロパティの値を使用してユーザの監査モードを決定し、そのユーザのログイン中にグループの監査モードが変更された場合、そのログイン ユーザの監査モードも変更されます。グループ監査モードの変更を有効にするためにユーザがログオフする必要はありません。以下の図は、
CA Privileged Access Manager
がユーザの監査モードを決定する方法を示しています。Determine_the_Audit_Mode_for-a_user

例: グループ別監査
ユーザ Jan はグループ A とグループ B のメンバーで、グループ A の監査モードは FAIL であり、グループ B の監査モードは SUCCESS である場合、Jan は両方のグループのメンバであるため、Jan には FAIL および SUCCESS の蓄積された監査モードがあります。
GROUP レコードの AUDIT プロパティ値の変更
capamsc141
GROUP レコードがある場合、それには以下の 2 つの機能があります。
- 1 つのユーザ セットの監査ポリシーを定義するプロファイル
- 2 つ目のユーザ セットのコンテナ
r12.0 SP1 CR1 以降、GROUP レコードは 2 つ目のユーザ セットの監査ポリシーも定義するようになりました。動作の変更によって生じる可能性のある問題を回避するために、2 つ目のユーザ セット用に別の GROUP を作成してください。
Windows での監査ポリシーの設定
アクセサおよびリソースに関するアクセス ルールを設定するだけでなく、監査ログに書き込む Windows イベントを指定できます。このような監査ポリシーは、組織全体に対して、グループ単位、プロファイル グループ単位、またはユーザ単位で指定できます。
例: プロファイル グループのすべてのメンバ向けの監査ポリシーを設定する
以下の例では、プロファイル グループに属するすべてのユーザ向けの監査ポリシーを設定します。
- 必要な監査モードで、新しいプロファイル グループを作成します。以下に例を示します。newgrp profileGroup audit(failure) owner(nobody)
- 新しいユーザを作成し、作成したプロファイル グループに追加します。以下に例を示します。newusr user1 profile(profileGroup) owner(nobody)
- ユーザの監査設定を削除します。以下に例を示します。chusr user1 audit-
この設定が有効かどうかを確認できます。
- 新しいユーザとしてログインします。runas /user:user1 cmd.exe
- user1 のコマンド プロンプト ウィンドウから、以下のコマンドを入力します。secons -whoamiこのコマンドでは、user1 の認証に使用され、user1 の ACEE に保持されている情報が表示されます。ACEE audit mode is: Failure; Originated from Profile group definitionこのメッセージにより、監査ポリシーは、ユーザが属するプロファイル グループから派生していることが確認されます。
例: グループ メンバの監査ポリシーを設定する
この例では、Forward Inc という名前の架空の会社が、
CA Privileged Access Manager
を使用して /production ディレクトリ内のすべてのファイルを保護することを考えているとします。/production ディレクトリにはネイティブ環境で完全なアクセス権限があります。Forward Inc は、/production ディレクトリへのすべてのアクセス試行を拒否し、監査することを検討しています。ただし、Forward Inc は、開発者の /production ディレクトリへの読み取りアクセスは許可します。このアクセスは監査されません。開発者による /production ディレクトリへの書き込み試行は、拒否されて監査されます。
開発者は、/production ディレクトリへの完全なアクセス権を要求できます。Forward Inc は、完全なアクセス権を持つユーザが /production ディレクトリ内で実行するすべてのアクティビティを監査します。
以下のプロセスでは、Forward Inc が前のシナリオを実装するために実行する手順について説明します。
- ネイティブ環境に「Developers」という名前のグループを作成します。すべての開発者をこのグループに追加します。
- ネイティブ環境に「Dev_Access_All」という名前のグループを作成します。ユーザはこのグループに追加しないでください。
- 以下のようにして、/production ディレクトリに対する包括的なアクセス ルールを定義します。authorize FILE /production/* access(none) uid(*)このルールは、デフォルト アクセスを「なし」に設定します。
- 以下のようにして、/production ディレクトリに対する包括的な監査ルールを定義します。editres FILE /production/* audit(failure)このルールは、/production ディレクトリへのアクセスに失敗したすべての試行を監査します。
- 以下のようにして、Developers グループにアクセス ルールを定義します。authorize FILE /production/* access(read) xgid(Developers)このルールは Developers グループのメンバに /production ディレクトリへの読み取りアクセスを許可します。手順 4 で設定したルールによって、Development グループのメンバを含めて、任意のユーザによるすべての失敗したアクセス試行をCA Privileged Access Managerが確実に監査できるようになります。
- 以下のようにして、Dev_Access_All グループにアクセス ルールを定義します。authorize FILE /production/* access(all) xgid(Dev_Access_All)このルールによって、Dev_Access_All グループのメンバに /production ディレクトリへの完全なアクセス権が許可されます。
- 以下のようにして、Dev_Access_All グループに監査ルールを定義します。chxgrp Dev_Access_All audit(all)このルールは、Dev_Access_All グループのメンバが実行するすべてのアクションを監査します。
- Developers グループのメンバに /production ディレクトリへの完全なアクセス権が必要な場合は、ユーザをネイティブ環境内の Dev_Access_All グループに追加します。ユーザには /production ディレクトリへの完全なアクセス権があり、CA Privileged Access Managerはユーザが実行するすべてのアクションを監査します。グループ メンバシップの変更を有効にするには、ユーザが新しいログオン セッションを開始する必要があります。
- ユーザがタスクを /production ディレクトリで完了したら、ユーザをネイティブ環境の Dev_Access_All グループから削除します。これで、ユーザは /production ディレクトリへの読み取りアクセスを得ることができます。CA Privileged Access Managerは、ユーザによる /production ディレクトリでのその他すべてのアクセス試行を拒否して監査します。グループ メンバシップの変更を有効にするには、ユーザが新しいログイン セッションを開始する必要があります。