セキュリティ情報およびイベント管理

セキュリティ情報およびイベント管理（SIEM）機能を使用すると、管理者は増加するセキュリティ脅威を効率的に管理し、規制基準を遵守することができます。組織のデータのセキュリティを脅かすさまざまな脅威を検出、可視化、精査、対応するのに役立ちます。Zoho Mailを使用すると、管理画面に記録された監査イベントをSIEMツールに連携できます。

Splunk

Splunkは、大量のネットワークやマシンのデータを継続的に収集、分析し、読み取り可能な形式でリアルタイムに相関させることが可能な分析主導型のSIEMツールです。 

SplunkとZoho Mailを連携するには、以下の手順に従ってください。

1. 組織のSplunkアカウントにログインします。
2. Splunkでイベントコレクタートークンを作成します。 Zoho Mail管理画面でSplunkを設定する際に、このトークンを入力する必要があります。

トークンを生成すると、Zoho Mail管理画面でSplunkを設定することができます。

Zoho MailでのSplunkの設定

Zoho MailにSplunkを設定するには、以下の手順に従ってください。

1. Zoho Mail管理画面にログインします。 
2. 画面左側のメニューから［その他のアプリ設定］を選択し、［SIEM］を選択します。
3. ［Splunk］に移動し、［設定］をクリックします。
   
4. ［選択したカテゴリー］で、監査イベントカテゴリーを選択します。
   
5. ［ホストアドレス］で、組織のSplunkインスタンスが実行されているホスト名を入力します。ホストアドレスを入力する際には、「https://」という接頭辞を含めないようにしてください。システムは、提供したホストアドレスに「https://」を自動的に追加します。 
6. Splunkで生成したトークンを入力します。Splunkの共通設定メニューで、HTTPイベントコレクターが有効になっているかを確認します。
   • 必要に応じて、Splunkの共通設定メニューのHTTPイベントコレクターを有効にする手順に従ってください。
7. ［追加する］ボタンをクリックします。選択したカテゴリーは保存され、Splunkアカウントで監査ログデータを円滑に表示できるようになります。
   
8. 監査イベントカテゴリーを変更するには、［選択したカテゴリー］項目で、イベントを追加または削除し、［トークン］を入力して、［更新する］ボタンをクリックします。

Loggly

Logglyは、クラウドベースの履歴管理および分析ソリューションです。組織が履歴データを管理、分析して、データを活用するのに役立ちます。膨大な量の履歴の検索、フィルタリング、可視化に対応し、履歴に含まれる情報の理解と活用を容易にします。 

LogglyとZoho Mailを連携するには、以下の手順に従ってください。

1. 組織のLogglyアカウントにログインします。
2. Logglyから顧客トークン をコピーします。このトークンは、Logglyアカウントを一意に識別するためのものです。顧客トークンは有効なトークンでなければなりません。

Zoho Mail管理画面でLogglyを設定する際に、このトークンを入力する必要があります。

Zoho MailでのLogglyの設定 

Zoho MailでLogglyを設定するには、以下の手順に従ってください。

1. Zoho Mail管理画面にログインします。 
2. 画面左側のメニューから［その他のアプリ設定］を選択し、［SIEM］を選択します。
3. ［Loggly］に移動し、［設定］をクリックします。
   
4. ［選択したカテゴリー］項目で監査イベントのカテゴリーを選択します。
5. Logglyアカウントからコピーされたトークン（顧客トークン）を入力します。 
6. ［追加する］ボタンをクリックします。 
   
7. 監査イベントカテゴリーを変更するには、［選択したカテゴリー］項目で、イベントを追加または削除し、必要に応じて［顧客トークン］を再入力して、［更新する］ をクリックします。
8. 変更を保存するには、Logglyアカウントに送信された［OTP］を入力します。

選択したカテゴリーは保存され、Logglyアカウントで監査ログデータを確認できます。

QRadar

IBM QRadarは、リアルタイムの監査履歴データを収集、相関、分析して、セキュリティの脅威を特定、対処するネットワークセキュリティ管理ソリューションです。リアルタイムの情報と監視、違反行為への警告、潜在的なネットワークの脅威への対応により、組織のネットワークセキュリティ管理を支援します。

QRadarとZoho Mailを連携するには、以下の手順に従ってください。

1. 組織のQRadarアカウントにログインします。
2. ［ログソース管理アプリ］に移動して、新しいHTTPレシーバーログソースを作成します。
3. 新しいログソースセクションで、［HTTPレシーバープロトコルログソース］を新規作成します。
4. データを円滑に受信できるよう、QRadarアカウントで［受診ポート12469］が開いていることを確認してください。

HTTPレシーバーのログソースが設定され、QRadarに展開されると、Zoho Mail管理画面でQRadarの設定を行うことができます。

Zoho MailでのQRadarの設定

Zoho MailでQRadarを設定するには、以下の手順に従ってください。

1. Zoho Mail管理画面にログインします。 
2. 画面左側のメニューから［その他アプリの設定］を選択し、［SIEM］を選択します。
3. ［QRadar］に移動して、［設定］ をクリックします。
   
4. ［選択したカテゴリー］項目で監査イベントカテゴリーを選択します。
5. ［URL］項目に、QRadarアカウントの［httpsレシーバープロトコル設定URL］を入力します。 
6. ［追加する］ボタンをクリックします。
   
7. 監査イベントカテゴリーを変更するには、［選択したカテゴリー］項目でイベントを追加または削除し、［更新する］をクリックします。
8. 変更を保存するには、QRadarアカウントに送信された［OTP］を入力します。

選択されたカテゴリーは保存され、QRadarアカウントで確認することができます。

Web通知

Zoho Mailでは、Web通知を使用すると、希望のSIEMツールがサポートされていない場合でも、スムーズにイベントデータの転送とSIEMツールとの連携ができます。 Web通知を使用することで、標準機能でサポートされていないSIEMツールでも、効果的なログ管理とイベント監視を行うことができます。 また、Zoho MailのWeb通知を通じて、管理画面から該当するSIEMインフラにイベントデータを送信できます。

Web通知を設定するには、以下の手順に従ってください。 

1. Zoho Mail管理画面にログインします。 
2. 画面左側のメニューから［その他のアプリ設定］を選択して、［SIEM］を選択します。
3. ［Web通知］に移動して、［設定］をクリックします。
   
4. ［選択したカテゴリー］項目で監査イベントカテゴリーを選択します。
5. Web通知の［名前］を入力します。
6. ドロップダウンから［データ形式］を選択します。
   • JSONARRAY
   • NDJSON
7. 受信データを取得するWeb通知のURLを［リスナーURL］項目に入力します。
8. ［カスタムヘッダー］項目に、SIEMツールから必要な［カスタムヘッダー名］と［カスタムヘッダー値］を入力します。
9. ［追加する］ボタンをクリックします。
   
10. 監査イベントカテゴリーを変更するには、［選択したカテゴリー］項目でイベントを追加または削除し、［更新する］をクリックします。
11. 変更を保存するには、設定したアプリケーションに送信された［OTP］を入力します。

SIEM設定の管理

連携機能の有効化／無効化

組織のニーズに応じて、連携が不要な場合はいつでも無効にすることができます。無効化するには、［連携機能］ページに移動し、トグルボタンで選択して、［無効にする］ボタンをクリックします。同じ手順で、該当の連携を、いつでも有効化することができます。

設定の削除

 設定が不要になった場合は、該当する［連携機能］ページで［設定を削除する］を選択し、表示されたポップアップで［削除する］ボタンをクリックします。