コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=manage-engine-overview

ManageEngine ADAudit Plus 統合の概要

ログコレクタ ID

ManageEngine ADAudit Plus を Sophos Central と統合して、ソフォスでの解析用に警告を送信することができます。

このページでは、統合の概要を説明します。

製品概要

Manage Engine の ADAudit Plus は、リアルタイムの監視、ユーザーとエンティティの行動分析、および変更監査を提供する包括的な Active Directory (AD) 監査ソリューションです。AD オブジェクト、ユーザーログオンアクティビティ、およびグループポリシー設定の変更に関する詳細なレポートを提供し、コンプライアンス、セキュリティを確保し、フォレンジックの準備を行います。

ソフォス製品ドキュメント

ManageEngine ADAudit Plus 統合

取り込まれる内容

ソフォスが確認する警告のサンプルには、次のような内容が含まれています。

  • 管理者ユーザーのログオン失敗
  • グループメンバーシップの変更
  • 権限昇格 - 権限の初回の使用
  • フォルダーのアクセス許可変更
  • 作成されたユーザー
  • パスワードの有効期限が無効
  • 異常なアクティビティ - ユーザー管理アクティビティ
  • 削除されたユーザー
  • ドメイン DOMAIN に対して最近検出されたリプレイ攻撃に関するレポートが閲覧されました
  • 新しいログオンに特別なグループが割り当てられました。このイベントに関するレポートがドメイン DOMAIN で閲覧されました
  • 証明書リクエストの状態
  • ドメイン DOMAIN の値の更新に失敗しました。ドメインは既に存在します。管理者権限で確認してください
  • Power BI グループメンバーシップが変更されました
  • サーバーを変更中に問題が発生しました。エラー: サーバーの更新中にエラーが発生しました、次のコンピューターが変更されました:
  • 警告プロファイルが正常に更新されました、警告プロファイル名: 変更済み管理者グループ
  • ドメイン DOMAIN のシステムシャットダウンレポートが閲覧されました
  • 異常なアクティビティ - ホスト上のログオン時刻

フィルタリング

警告は次のようにフィルタリングされます。

  • 有効な CEF を許可します。
  • 確認済みのさまざまなメッセージやセキュリティ関連以外のメッセージやログをドロップします。

脅威マッピングの例

{"alertType": "LAPS Password read - DOMAIN report was viewed for the domain DOMAIN", "threatId": "TA0006", "threatName": "Credential Access"}
{"alertType": "Successfully scheduled the event collection from selected computer(s) Domain : DOMAIN", "threatId": "T1070", "threatName": "Indicator Removal on Host"}
{"alertType": "Domain DOMAIN deletion process started", "threatId": "TA0040", "threatName": "Impact"}

ベンダーのドキュメント

SIEM Integration: Forwarding ADAudit Plus data to a Syslog Server