【イベントログの収集と解析に関するご提案】~ツールを用いた収集・集計・精査~(H29.9.12)
お客様各位
処暑を過ぎ、暑さもしのぎやすくなったはずですが、天候不良が続いていました。
長期休暇明けの機器のメンテナンスなど対策に追われた方も多かったかと思います。
この機会にセキュリティ対策にも目を向けられては如何でしょうか。
セキュリティ対策というと、目を向けがちなのがエンドポイントに対するツール導入やネットワーク機器への対策強化です。
弊社でも関連するソリューションを提供していますが、常用しているWindowsサーバや端末についても対策に必要 な情報を取得する手段があることご存知でしょうか。
それは【イベントログ】です。
JPCERTコーディネーションセンターなどの公開資料でも、イベントログを効果的に引用することで攻撃に対する対策を立てる上で必要な情報を得ることができるとされています。
---------------------------------------------------------------
参考資料:出展 JPCERTコーディネーションセンター(JPCERT/CC)
1) ログを活用したActive Directoryに対する攻撃の検知と対策
https://www.jpcert.or.jp/research/AD.html
2) インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書
https://www.jpcert.or.jp/research/ir_research.html
---------------------------------------------------------------
【イベントログ】自体は、Windowsに標準実装されているイベントビューアから閲覧できます。
設定が必要ですが、エージェントレスでイベントビューアにリモートサーバ、端末のイベントを集積することもできます。
また、PowerShellなどのコマンドを用いて、テキストとして取得することも可能です。しかしながら、問題はあります。
・設定が比較的難しい。
・どのイベントに注目するべきなのか判断しがたい。
・イベントを特定し、問題を調査する場合に検索が難しい。
これらの問題は、イベントログの収集ツールで解決できます!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 弊社製品【EventReporter】がおすすめです。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
次にイベントログを一つのサーバに集積するためには、Unixで用いられている
Syslog形式に変換して、テキストファイルなどで管理するのが簡単です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 弊社製品【WinSyslog】で実現できます!
また、ログの安全性を確保したアプライアンス製品
■ 【syslog-ng Store Box (SSB)】もおすすめです。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
収集したイベントログの一定期間内での傾向を見たい場合や特定のイベントIDが
いつ発生したか等の情報を得たい場合は、ログを集計する方法があります。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 弊社製品【Sawmill】がお役に立ちます!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
更に個別のイベントとそれが発生する前後のイベントを合わせて詳しく見たい場合は
ログを時間範囲などで条件検索し、表示させるツールを用いると便利です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 弊社製品【Retrospective】がお役に立ちます!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
各製品の無料で試用できる評価版ダウンロードはこちら >>