情報セキュリティ ブログ記事

異常ログ見聞録

2020/08/31

 

 

昨今、セキュリティ対策として多層防御をしていても、日増しに巧妙化・悪質化するサイバー攻撃に狙われて被害にあうケースが少なくありません。これまでのセキュリティは、外部の敵の攻撃から守ることに重点がおかれており、万が一敵が攻撃に成功して内部に侵入されてしまうと被害が出るまでその存在に気付くのが難しいという側面があります。“守る”セキュリティ施策をかいくぐられて侵入を許してしまうケースも多くなってきており、“守る”だけでなく“気づく”ことの重要性が増しています。

では“気づく”ためにできることは何でしょうか。
そのうちの一つは行動を記録する(ログをとる)ことです。

EDR(Endpoint Detection & Response)製品を導入して端末を常時監視・ログ取得を行うなど方法はいくつかありますが、ログを取得するという点においてWindows端末の場合は簡単に導入できるSysmonというツールがあります。

Windows端末を普段使いしている状態でも最低限のログは自動で取得されていますが、SysmonはWindowsの開発元であるマイクロソフトが提供するツールで、通常はログに記録されない(または詳細に乏しい・分かりづらい)プロセスの起動やネットワーク通信、ファイル変更などを記録することが可能になります。

注)Sysmonはあくまで詳細なログを取得するためのツールになりますので、インストールをしただけでは内部に侵入したウィルスを発見できるわけではありませんが、本ツールを通して取得したログを分析することによって通常より早くウィルスの存在に気づくことが重要になります。

次に、ログを分析するためには知識が必要となりますが、7月下旬にJPCERTコーディネーションセンター(JPCERT/CC)からログ解析トレーニング用コンテンツとして「Log Analysis Training」がGitHubにて公開されていますので、本コンテンツを通してWindowsのセキュリティログやプロキシログを活用する方法を学ぶことができます。

■Log Analysis Training
https://jpcertcc.github.io/log-analysis-training/

▼抜粋

トレーニングから得られる知識

  • 攻撃者の典型的なネットワーク侵入の手口
  • 侵入の痕跡を見つけるために必要なWindowsのログ設定
  • Windowsログの調査手順
  • ログ調査のポイント
  • Active Directoryログから攻撃の痕跡を分析する手法の基礎

普段、自身が使用している端末でどのようなログが取得されているのか知る機会はあまりないかもしれませんが、上記のコンテンツなどを通して、どのような観点でログを見ればよいのか、ログを見るためにはどのような設定が必要なのかなどのポイントを押さえておくと、いざというときに少しでも早い“気づき”が得られるようになります。

 

このエントリーをはてなブックマークに追加