リモートワークの IT監視：ネットワーク上のユーザーを特定するには？

在宅勤務の急増に伴い、自宅のラップトップからインターネットを介して、データセンターなどでホストされるCitrixサーバーに接続するユーザーは今後ますます増加していくでしょう。これにより、ライセンスやインターネット帯域幅、さらにはCitrix環境をホストしているサーバーのパフォーマンスに負担がかかることが考えられます。こうした重要な領域はすべて、Splunkのさまざまなアドオンを使用して監視できます。

Splunk Citrixアドオン：CitrixからSplunkにデータを取り込むことができるSplunk Citrixアドオンが複数あります。これらのAppは無料で利用でき、Citrix NetscalerとXenDesktopに関する詳細を確認できます。これらのアドオンを使用すれば、NetScalerのsyslog、IPFIXやNitro APIのログなどを簡単に使用できます。XenDesktop 7用テンプレートを含むアドオンもあります。テンプレートにより、アラートの可視化、ICA遅延のレポート、ユーザーエクスペリエンスの調査、ログオンの詳細表示、パフォーマンスの可視化と監視、アプリケーションの使用状況の確認、重要なサービスの監視などを行えます。

UberAgent：Uberドライバーに接続して監視するエージェント...ではありません。これは、Windowsエンドユーザーコンピューティング向けのSplunkエージェントです。このアドオンは有料ですが、物理PC、仮想デスクトップ、Citrix XenApp/XenDesktop、あるいはVMware Horizon Viewに関して把握しておかなければならないすべてのことについて、システムのユーザー密度に影響を与えることなく、データを収集し、レポートを作成できます。Windowsマシンにトライアル版をインストールしていただくと、エンドユーザーコンピューティングのトラブルシューティングを1回ご利用いただけます。

UberAgentにはCitrixダッシュボードが多数用意されており、ログインパフォーマンスを表示し、ログインに関する問題を一元的にトラブルシューティングできます。さらに、リモートエンドポイントのアプリケーションパフォーマンスを表示できるため、管理者はSplunkからトラブルシューティングを行うことができます。

リモートアクセスVPN：仮想プライベートネットワーク(VPN)により社内ネットワークへの直接アクセスが可能になり、リモートユーザーは社内イントラネットや企業ネットワーク内のサービスにアクセスできるようになります。多数のユーザーが同時に接続した場合も、やはり企業イントラネットや同時使用に負担がかかる可能性があります。ユーザーが企業のVPNを利用できない理由を管理者が判断するのに役立つトラブルシューティングダッシュボードは、ユーザーエクスペリエンスにとって非常に重要です。

Palo Altoアドオン：このSplunkアドオンでは、ファイアウォール、高度なエンドポイントセキュリティ、脅威インテリジェンスクラウドからデータを取り込むことができ、主なリンクの帯域幅などの運用レポートを作成できるほか、設定可能なダッシュボードビュー、アダプティブレスポンスが提供されます。さらに、GlobalProtect VPN はリモートアクセスのトラブルシューティングに役立ちます。

Zscaler App：このSplunk Appは、ユーザーがどこから接続しているかに関係なく、すべてのZscaler製品のリモートアクセスの可視化とダッシュボードを提供します。Webやリモートアクセスの使用状況に関する事前構築済みのレポートが用意されているほか、脅威インテリジェンス、DLPイベント、インシデントのレポートも作成できます。

Cisco App：このSplunk AppはPalo AltoおよびZscalerのAppと似た機能を持ち、主なリンクの帯域幅およびリモートアクセスについて、ダッシュボードにデータを取り込むのに役立ちます。

以下は、ログインに問題のあるユーザーを検索したり、何人のユーザーがどこから接続しているかを確認したりできるPalo Alto Appのスクリーンショットの例です。

アクセス管理：アクセス管理は、シングルサインオン(SSO)機能を使用して内部サービスまたはその他のクラウドサービスにリダイレクトできるクラウドホスト型ポータルを提供します。多くの場合、お客様はクラウドホスト型SaaSサービスと社内システムへの接続の両方で、SSOとしてOktaを使用することになります。以下のアドオンを使用すると、これらのサービスで生じる問題をトラブルシューティングしたり、ユーザーの問題を特定したりできます。

Oktaアドオン：このSplunkアドオンは、Okta Identity Cloud REST APIに接続して、イベントログ情報、ユーザー情報、グループとグループメンバーシップについての情報、およびアプリケーションとアプリケーションの割り当てについての情報に関するレポートを作成します。

SailPointアドオン：このSplunkアドオンでは、SailPointのIdentityNow製品から監査イベントデータを簡単に抽出できます。

多要素認証
：多要素認証は、高度なセキュリティを確保するためにリモートアクセスによく使用されていますが、今後も重要なサービスとなるでしょう。問題が生じているユーザーの把握、トークンの割り当てについてのトラブルシューティング、さらには利用可能なライセンス数の監視などは、IT環境の安全を維持するうえで重要な要素です。

RSA多要素認証用Splunkアドオン：このSplunkアドオンを使用すると、Splunkソフトウェアの管理者はsyslogを介してRSA SecurID認証マネージャー(AM)サーバーからデータを収集できます。このアドオンには事前構築済みのダッシュボードパネルが含まれており、すぐに作業に取りかかることができます。

多要素認証用Duoアドオン：この開発者アドオンを使用すると、認証ログ、管理者ログ、テレフォニーログ、エンドポイントログを収集してレポートを作成できます。このコネクタにはデフォルトのダッシュボードも用意されており、すぐに使い始めることができます。

この記事が皆様のお役に立てば幸いです。今後もこのブログシリーズをチェックして、詳しい情報をご確認ください。また、こちらをクリックすると、その他のベストプラクティスの指針やヒントをご覧いただけます。

Thanks to the contributors of this blog post, Cory Minton, Bryan Sadowski, William Von Alt, Matt Olsen, Chris Kline.

----------------------------------------------------
Thanks!
Nick Crofts