User Access Controls ツールキット

User Access Controls Testing Analysis ロボット ツールキットは、ユーザー アクセス制御を監視するためのサービスとしてのアナリティクス ソリューションです。Active Directory、人事管理システム、SAP、Oracle、Salesforce などの他のアプリケーションでユーザー リストを比較します。

ツールキットは、ほとんどのお客様に適用可能な事前に構成されたソリューションです。展開されると、リリースされたときに、新しいスクリプトを使って分析ロボットツールキットを更新できます。カスタムのスクリプトを追加してツールキットを設定し直すことで、これを詳細にカスタマイズできます。インポートされたデータは、リザルトや Excel ファイルに出力できます。

メモ

User Access Controls Testing Analysis ロボットは次の項目をサポートしません。

  • Analytics Exchange(AX)
  • 本番用ロボット クラウド エージェント
  • カスタム アナリティクスおよびデータソース
  • Excel/リザルト出力以外のレポート

システムおよびサブスクリプション要件

User Access Controls Testing Analysis ロボットを使用するには、次のサブスクリプションおよびシステム要件を満たしていることを確認してください。

要件 メモ
ACL Robotics Enterprise Edition ロボット ツールキットはアドオンとして提供されています。

オンプレミス ロボット エージェント バージョン 15

インストールするバージョン(Unicode または非 Unicode)を確認してください。

ACL for Windows バージョン 15
  • インストールがロボット エージェントと同じエンコーディング(Unicode または非 Unicode)を使用していることを確認してください。
  • ACL for Windows のローカル インストールは、トラブルシューティング目的またはカスタム スクリプトの開発で役立ちます。
ソース アプリケーションの Data Integration ロボット ソースアプリケーションの Data Integration ロボットが正常に組織に展開され、現在実行中であることを確認してください。

ツールキットについて

ツールキットは、Diligent One に複数のコンポーネントをインストールします。

コンポーネント カウント 名前
コレクション 2

User Access Controls Testing Analysis - 開発モード

User Access Controls Testing Analysis - 本番モード

分析

2

User Access Controls Testing Analysis(コレクションごとに 1 つ)
ロボット 1 User Access Controls Testing Analysis
アナリティクス テーブル 10 詳細については、「User Access Controls Testing 向けアナリティクス」を参照してください。

ユーザー アクセス制御テスト分析ロボット (User Access Controls Testing Analysis Robot)

User Access Controls Testing Analysis ロボットは、ツールキットがインストールされるときに自動的に作成されます。このロボットには次の内容が含まれます。

  • アナリティクス スクリプト - データをインポートおよび処理するコア スクリプトが含まれます。

    メモ

    アナリティクス スクリプトは修正しないでください。スクリプトを修正すると、タスクの実行中にエラーが発生する場合があります。必要な修正は、ユーザー アナリティクス構成ファイルで構成するか、カスタム アナリティクス スクリプトとしてアップロードしてください。

  • (任意)カスタム アナリティクス スクリプト - 手動でアップロードされるスクリプト。新しい顧客固有のアナリティクス機能をロボットに追加したり、データ ロジックを変更したりします。これらのスクリプトはデフォルトのアナリティクス スクリプトよりも優先されます。十分に確認してください。

  • 構成ファイル - 次の表の一覧に記載されているすべての構成ファイルは、ロボットの[入力/出力]タブに表示されます。

    ファイル名 説明 モード
    UA_Default_
    Analytic_Configuration.xlsx

    デフォルトの構成が含まれます。

    メモ

    このファイルは修正しないでください。ファイルを修正すると、タスクの実行中にエラーが発生する場合があります。必要な修正は、ユーザー アナリティクス構成ファイルで構成するか、カスタム アナリティクス スクリプトとしてアップロードしてください。

    ロボットによって自動的に生成されます。
    Result_Table_IDs.csv 該当する開発および本番コレクション内の、リザルトにエクスポートされたテーブルの保存先が含まれます。

    ロボットによって自動的に生成されます。

    ユーザー アナリティクス構成ファイル

    デフォルトのアナリティクス構成ファイルで提供されている構成を上書きする必要があるカスタム構成が含まれます。

    このファイルの構成は、デフォルトのアナリティクス構成ファイルの入力内容よりも優先されます。

    メモ:カスタマイズ内容がユーザー アナリティクス構成ファイルの上限を超える場合は、カスタム スクリプトを追加できます。

    ツールキットを実装するときに手動でアップロードします。
  • ロボット タスク - ロボット内のデフォルトおよびカスタム スクリプトを実行します。次の情報が含まれます。

    パラメーター 説明
    Export to HighBond Results?(HighBond リザルトにエクスポート)

    インポートされたデータをリザルトにエクスポートするかどうかを指定します。使用可能なオプションは次のとおりです。

    • Export to Results - Overwrite(リザルトにエクスポート - 上書き) - データがエクスポートされるたびに、リザルト テーブルのデータを上書きします。
    • Export to Results - Append(リザルトにエクスポート - 最後に追加) - データをリザルト テーブルの最後に追加します。
    • Do not export(エクスポートしない) - データをリザルトにエクスポートしません。
    Export to Excel?(Excel にエクスポート)

    現在の結果を Excel ファイルにエクスポートするかどうかを指定します。使用可能なオプションは次のとおりです。

    • Export to Excel(Excel にエクスポート)
    • Do not export(エクスポートしない)
    HighBond アクセス トークン

    リザルトに接続するために必要なトークン。リザルトへのエクスポートが無効な場合は、このパラメーター用にランダムな値を指定できます。

リンクされたテーブル

Data Integration ロボットの必要な共有されたテーブルは、[入力/出力]タブで User Access Controls Testing Analysis ロボットにリンクされます。分析ロボット タスクが実行されると、リンクされたテーブルからデータを抽出し、そのデータを使用して、定義されたコア アナリティクス ロジックを処理します。

メモ

複数の分析ロボットを作成し、必要なテーブルのみをリンクして、特殊なタスクやタスクのセットに合わせてロボットを分けることができます。

User Access Controls Testing 向けアナリティクス

User Access Controls Testing ツールキット向けアナリティクスは、次の表の一覧のとおりです。

エラー ログ

タスクの実行中に検出されたすべてのエラーは、各アナリティクスのエラー ログ テーブルに記録されます。エラー カウントが 0 の場合、エラー メッセージがエラー ログ テーブルに書き込まれます。

ヒント

アナリティクスで例外が返されず、テーブルが 0 件であるというフラグが設定されていないことが確認された場合でも、タスクの実行後にエラー ログを確認してください。たとえば、ファイルの形式が正しくない場合は、ユーザー アナリティクス構成ファイルのユーザー入力パラメーターを無視できます。

各アナリティクスの処理

アナリティクス名 説明
UA01AD_No_
Expiry_Passwords

このアナリティクスは、パスワードの有効期限が設定されていない Active Directory アカウントを報告します。このようなアカウントは UserAccountControl フィールドの特定の値で示されます。結果には有効なアカウントと無効なアカウントの両方が含まれます。

UserAccountControl フィールドのデフォルト値は、デフォルト アナリティクス構成ファイルのパラメーターとして管理されます。その他の報告フィールドをアナリティクスに追加する場合、特に、UNICODE ロボット エージェントで使用するときには、Member フィールドを繰り越すデータ準備および分析スクリプトによって長さエラーが発生することがあります。

v_no_expiry は、デフォルト アナリティクス構成ファイルDefault_Config_Params ワークシートでこのアナリティクス用に使用できるデフォルト パラメーターです。デフォルト パラメーターが適用されない場合または不完全である場合は、ユーザー アナリティクス構成ファイルで必要な値を宣言できます。デフォルト アナリティクス構成ファイルの形式と命名規則に従っていることを確認してください。各値を引用符で囲まない、スペース区切りの形式を使用できます。また、文字列全体は二重引用符で囲むことができます。

このアナリティクスの結果フィールドは R_UA01AD_No_Expiry_Passwords です。

UA02AD_Active_
Default_Accounts

このアナリティクスは、ユーザー定義のデフォルト アカウントのリストを Active Directory のユーザー テーブルと照合し、アクティブ(有効)だと見なされるデフォルト アカウントのユーザーを報告します。一般的に、分析されるデフォルト アカウントは、特権アクセスに関連付けられた定義済みアカウントです。

パスワードが最後に設定された日付と、最後のパスワード リセットからの経過日数が結果に表示されます。UserAccountControl フィールドの値に基づき、有効なアカウントのみが分析に含まれます。

Account_List は、デフォルト アナリティクス構成ファイルPARAM_AD_Default_Accounts ワークシートでこのアナリティクス用に使用できるデフォルト パラメーターです。デフォルト パラメーターが適用されない場合または不完全である場合は、ユーザー アナリティクス構成ファイルで必要な値を宣言できます。デフォルト アナリティクス構成ファイルの形式と命名規則に従っていることを確認してください。

メモ

RDN フィールドの CN= または他のプレフィックスは除去され、Active Directory のユーザー テーブルとデフォルト アカウントを結合します。このため、パラメーター テーブルのデフォルト アカウント名は、CN= または他のプレフィックスを使用せずに指定する必要があります(例:CN=Administrator ではなく、Administrator)。

このアナリティクスの結果フィールドは R_UA02_AD_Active_Default_Accounts です。

UA02UNIX_Active_
Default_Accounts

このアナリティクスは、ユーザー定義のデフォルト アカウントのリストを /etc/Passwd ファイルの User_Name フィールドと照合し、アクティブ(有効)だと見なされるアカウントを報告します。一般的に、分析されるデフォルト アカウントは、特権アクセスに関連付けられた定義済みアカウントです。

パスワードが最後に設定された日付と、最後のリセットからの経過日数が結果に表示されます。アクティブ(有効)なアカウントのみが結果で報告されます。アナリティクスでフラグが設定された非アクティブ(無効)なアカウントは結果から除外されます。

メモ

このアナリティクスでは /etc/shadow ファイルが必要です。使用している UNIX のバージョンでこのファイルが存在しない場合は、カスタム アナリティクス スクリプトを追加して、有効なアカウントの状態をテストしなければならない場合があります。etc/shadow ファイルが存在していても、無効なパスワードまたはロックされたパスワードの円コーティングが異なる場合は、カスタム スクリプトが必要になる場合があります。

Account_List は、デフォルト アナリティクス構成ファイルPARAM_UNIX_Default_Accounts ワークシートでこのアナリティクス用に使用できるデフォルト パラメーターです。デフォルト パラメーターが適用されない場合または不完全である場合は、ユーザー アナリティクス構成ファイルで必要な値を宣言できます。デフォルト アナリティクス構成ファイルの形式と命名規則に従っていることを確認してください。

このアナリティクスの結果フィールドは R_UA02UNIX_Active_Default_Accounts です。

UA03ORCL_Oracle_
AD_Mismatch

このアナリティクスは、アクティブな Oracle ERP ユーザー アカウントがアクティブな Active Directory ユーザー アカウントと一致しないアカウントを特定します。電子メール アドレスが nobody@localhost である Oracle ユーザー アカウントは除外されます。

このアナリティクスの結果フィールドは R_UA03ORCL_Oracle_AD_Mismatch です。

UA03SAP_SAP_AD_
Mismatch

このアナリティクスは、アクティブな SAP ERP ユーザー アカウントがアクティブな Active Directory ユーザー アカウントと一致しないアカウントを特定します。SAP ERP Data Integration ロボットは、ユーザー タイプ「A」(ダイアログ)または「C」(通信)でソース テーブル USR02 をフィルタリングします。

このアナリティクスの結果フィールドは R_UA03SAP_SAP_AD_Mismatch です。

UA03SF_SF_AD_
Mismatch

このアナリティクスは、アクティブな Salesforce CRM ユーザー アカウントがアクティブな Active Directory ユーザー アカウントと一致しないアカウントを特定します。アクティブな Salesforce ユーザー アカウントは、IsActive フィールドの値 T で特定されます。

このアナリティクスの結果フィールドは R_UA03SF_SF_AD_Mismatch です。

UA04AD_NonAdmin_
権限

このアナリティクスは、管理者特権に関連付けられた重要な Active Directory グループのメンバーを、このようなアクセスが許可されたユーザー アカウントを含むユーザーが管理するパラメーター テーブルと比較します。権限のある管理者ユーザーとしてリストされない重要なグループのメンバーが結果で報告されます。

現在、ネストされたグループがサポートされています。アナリティクスは、Group テーブルの Member フィールドのみを分析します。

パラメーター テーブル PARAM_AD_Auth_Admin_Users にリストされている管理者ユーザー アカウントは、PARAM_AD_Critical_Groups でリストされているすべての特権グループに対する権限があると見なされます。特定のグループへのアクセスのテストは、現在、このアナリティクスではサポートされていません。

Active Directory インポート処理では、インポートする文字の最大数が設定されています。一部のメンバー リストの長さはこの文字の上限を超過し、切り捨てられる場合があります。Error_Log テーブルには、この制限の影響を受けたグループのリストが出力されます。

次の 2 つのデフォルト パラメーターは、デフォルト アナリティクス構成ファイルPARAM_AD_Critical_Groups および PARAM_AD_Auth_Admin_Users ワークシートでこのアナリティクス用に使用できます。デフォルト パラメーターが適用されない場合または不完全である場合は、ユーザー アナリティクス構成ファイルで必要な値を宣言できます。デフォルト アナリティクス構成ファイルの形式と命名規則に従っていることを確認してください。

  • Group_List, NonAdmin_Privilege - デフォルト テーブルのリストに存在する場合でも、すべての該当する特権グループの sAMAccountName を追加できます。

  • RDN - すべての権限のある管理者ユーザー アカウントの RDN を追加します。

このアナリティクスの結果フィールドは R_UA04AD_NonAdmin_Privilege です。

UA04UNIX_NonAdmin_
権限

このアナリティクスは、重要なセキュリティ グループにアクセスできるアクティブな UNIX ユーザー アカウントを、このようなアクセスが許可されたユーザー アカウントを含むユーザーが管理するパラメーター テーブルと比較します。権限のある管理者ユーザーとしてリストされない重要なグループのメンバーが結果で報告されます。

メモ

パラメーター テーブルには、架空ユーザー アカウントが含まれ、サンプル データ モードで実行されるときに例外が発生する場合があります。デフォルトのパラメーター テーブル結果をレビューして、データを検証することをお勧めします。

アクティブ(有効)なアカウントのみが結果で報告されます。アナリティクスでフラグが設定された非アクティブ(無効)なアカウントは結果から除外されます。状況を判定できないアカウントは、結果で不明と表示されます。

次の 2 つのデフォルト パラメーターは、デフォルト アナリティクス構成ファイルPARAM_UNIX_Auth_Admin_Users ワークシートでこのアナリティクス用に使用できます。デフォルト パラメーターが適用されない場合または不完全である場合は、ユーザー アナリティクス構成ファイルで必要な値を宣言できます。デフォルト アナリティクス構成ファイルの形式と命名規則に従っていることを確認してください。

  • Source_System - 単一のシステムを分析している場合は、空白にできます。

  • Account_Group - すべての権限のある管理者ユーザー アカウントの RDN を追加します。

このアナリティクスの結果フィールドは R_UA04AD_NonAdmin_Privilege です。

UA05AD_Multiple_
アカウント

このアナリティクスは、複数のアクティブなアカウントがある Active Directory ユーザーを報告します。管理者ユーザーには管理オペレーションを実行するための個別のアカウントが割り当てられている場合がありますが、標準ユーザーは複数のアカウントを所有できません。このアナリティクスの出力を使用すると、意図しないユーザーに複数のアクティブなアカウント(システム実装中に作成されたテスト アカウント、デフォルトのシステム アカウント、継承されたアカウントなど)が割り当てられていないことを検証できます。

このアナリティクスの結果をさらに使用すると、日常の管理オペレーションを実行するための有効なアカウントが別個に管理者ユーザーに割り当てられていることを検証できます。

このアナリティクスの結果フィールドは R_UA05AD_Multiple_Accounts です。

UA06UNIX_Root_
権限

このアナリティクスは、UNIX 環境で root(スーパーユーザー)特権が付与されたユーザーを報告します。次の 2 つの要素が単一の結果テーブルに結合されます。

  • UID テスト:UID が 0 のすべてのユーザー名を特定します。

  • GID テスト:GID が 0 のすべてのユーザー名を特定します。

このアナリティクスの結果フィールドは R_UA06UNIX_Root_Privileges です。