毎年コンピューター不正アクセスのインシデント数は増えています。それに伴い「コンピューター不正アクセス対策費用」も増加しています。
このような状況の中で頭を抱えている経営者やIT管理者が多くいるのではないでしょうか。
今回は、そのような方々に非常に安価で簡単に構築できるWindowsマシンのログオン失敗を自動的にリアルタイムに検知するシステムの情報をご提供したいと思います。
会社のセキュリティを掻い潜って社内のネットワークに侵入した攻撃者は、Windowsマシン(Client/Server)にパスワード解析を試みてアカウントにログオンしようとします。
可能性のあるパスワードの組み合わせを端から試すいわゆるブルートフォース攻撃を仕掛けてきます。
もし、知らない間にアカウントに不正ログオンされると、次に管理者権限を取得され顧客データ、取引先情報、カード情報など非常に重要な機密データを搾取される危険性が高まります。
そこで、非常に重要なのはWindowsマシンのアカウントに不正にログオンされる前に検知する事です。
ブルートフォース攻撃の兆候は、短時間で大量のログオン失敗イベントが生成されることです。
当然、セキュリティ管理者としては、その攻撃をリアルタイムで検知し、通知するしくみが欲しいところだと思います。
弊社取り扱い製品のAdiscon社
EventReporterとWinSyslogは、非常に安価で簡単に構築でき、Windowsマシンのログオン、ログオフを一元管理ができるシステムを提供します。
関連のイベントログを保存することに加えて、例えば、ログオン失敗イベントが4回発生したら即座にセキュリティ管理者にアラートメールを送信する事ができます。
この自動アクションによってセキュリティ管理者は、攻撃を事前に防ぐ対応が可能となります。
【Windowsマシン(Client/Server)ログオン失敗イベントを検知しセキュリティ管理者にアラートメールを送信する仕組み】
Windowsマシンのイベントビューア上に出力されるイベントID:4625は、ローカルコンピューター上で発生したログオン失敗イベントを記録しています。
スクリーンショット①:ローカルコンピューター上で発生したログオン失敗イベントID:4625のWindows Server 2012 R2イベントログサンプル
つまり、自動的に「ログオン失敗イベントID:4625」を即座に検知してセキュリティ管理者にアラートメールを送信する事によって攻撃を事前に防ぐ対応が可能となります。
Adiscon社
EventReporterは、各Windowsマシン(Server/Client)にインストールしエージェントとしてイベントログをSyslogに変換してWinSyslogシスログサーバーにほぼリアルタイムに転送処理するソフトウェア製品です。
以下のsyslogは「スクリーンショット①」の「ログオン失敗イベントID:4625のイベントログ」をEventReporterがsyslogに変換して送信し、WinSyslogで受信したsyslogのサンプルです。
赤くハイライトしている部分に「ログオン失敗イベントID:4625」が記載されています。
『2020-12-22 14:29:20 Local0.Notice 127.0.0.1 Dec 22 14:29:19 WIN-69HO9E1V7US
EvntSLog: Security,Microsoft-Windows-Security-Auditing,2020-12-22 14:29:19,4625,ログオン,情報,失敗の監査,NA,WIN-69HO9E1V7US,アカウントがログオンに失敗しました。
(省略) これは、セッション キーが要求されなかった場合は 0 になります。』
もちろん、「イベントID:4625」が記載されたsyslogを受信する毎にアラートメールを送信する事もできますし、4回続いたら初めてアラートメールを送信する事もできます。
【上述の管理を実現するために必要なライセンス構成】
・EventReporter Professional 1ライセンス;1年サポート付 24,000円(定価、税別)
・WinSyslog-J Professional ライセンス;1年サポート付
94,000円(定価、税別)
「WinSyslog-J Professional ライセンス」パッケージは「WinSyslog Professional, InterActive SyslogViewer, BlueBak」を含みます。
本ライセンスが最少構成のパッケージとなります。また、本製品群はパッケージのみの販売となります。
WinSyslog Professionalは対象機器のIPアドレスが100 IP迄になります。
注記:IPアドレスが無制限の場合は、「WinSyslog-J
Enterprise ライセンス」(386,000円:定価、税別)になります。
WinSyslog ProfessionalからWinSyslog Enterpriseにアップグレード(差額 + 手数料)ができます。
次年度以降の保守更新費用(新規ライセンスは1年間保守サポートを含む)
・EventReporter Professional 1ライセンス;サポート更新1年 6,000円(定価、税別)
・WinSyslog-J Professional ライセンス;サポート更新1年 24,000円(定価、税別)
Adiscon社製品の初年度は、最長{新規ライセンス(1年間サポート含む)+保守更新5年分}6年まで保守一括購入が可能です。
【EventReporter、WinSyslogとは】
Adiscon社
EventReporterは1997年に世界初のWindowsイベントログ管理としてリリースされた製品です。
詳細については、EventReporter製品ガイドの「EventReporterとAdiscon関連製品イメージ例」を参照ください。
https://www.jtc-i.co.jp/support/documents/guide/productguide_eventreporter.pdf
イベントログを収集する必要のあるWindows(Server/Client)マシンの台数分のEventReporterライセンスが必要になります。
WinSyslogは、各EventReporterから送信されてくるシスログを受信して中央で一元管理するシスログサーバー製品になります。
WinSyslogは、1996年に世界初のWindows OSで稼働するSyslog Serverとしてリリースされました。
メーカーのAdiscon社は、LinuxのSyslog Serverで著名な「rsyslog」を開発した会社です。
すなわち、WinSyslogは、Syslog
Serverの専門会社であるAdiscon社が開発した 世界初のWindows OSで稼働するSyslog Server製品になります。
EventReporterから送信されるsyslogと併せて各種ネットワーク機器のsyslogも一緒に一元管理ができます。
詳細については、以下の弊社WebサイトURLのWinSyslog 製品ガイドをご参照ください。
https://www.jtc-i.co.jp/support/documents/presentation/productguide_winsyslog.pdf
【参考URL】
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/auditing/event-4625
