「疑わしい」Windowsイベントログを抽出して、イベントログを活用する

WindowsOS内で発生した事象は「イベントログ」に書き込まれ、Windowsに付属の「イベントビューア」を用いてこれを参照できます。

今回は「Windowsサーバー管理者が特に注目したいイベントログ」と「EventReporterを用いてイベントログを活用する方法」をご紹介します。

Windowsサーバー管理者が特に注目したいイベントログ

イベントログを漠然と集めても、膨大過ぎる情報の中に埋もれ、重大な兆候を見逃してしまうかもしれません。
では、どのようなイベントログを収集するのが有益なのでしょうか?

さまざまな事象がWindowsイベントログに記録されますが、今回はユーザーの権限に関する事象に注目してみます。

カテゴリ: アカウントの管理

  • 4720 – ユーザー アカウントが作成されました。
  • 4722 – ユーザー アカウントが有効になります。
  • 4723 – アカウントのパスワードを変更しようとしました。
  • 4724 – アカウントのパスワードをリセットしようとしました。
  • 4725 – ユーザー アカウントが無効にされました。
  • 4726 – ユーザー アカウントが削除されました。
  • 4727 – セキュリティが有効なグローバル グループが作成されました。
  • 4728 – セキュリティが有効なグローバル グループにメンバーが追加されました。
  • 4729 – セキュリティが有効なグローバル グループからメンバーが削除されました。
  • 4730 – セキュリティが有効なグローバル グループが削除されました。
  • 4731 – セキュリティが有効なローカル グループが作成されました。
  • 4732 – セキュリティが有効なローカル グループにメンバーが追加されました。
  • 4733 – セキュリティが有効なローカル グループからメンバーが削除されました。
  • 4734 – セキュリティが有効なローカル グループが削除されました。
  • 4735 – セキュリティが有効なローカル グループが変更されました。
  • 4737 – セキュリティが有効なグローバル グループが変更されました。
  • 4738 – ユーザー アカウントが変更されました。
  • 4739 – ドメイン ポリシーが変更されました。

カテゴリ: システム

  • 4612 – 監査メッセージのキュー用に割り当てられている内部リソースが枯渇し、一部の監査が失われました。
  • 1102 – 監査ログは消去されました。

カテゴリ: ポリシーの変更

  • 4704 – ユーザー権利が割り当てられていました。
  • 4705 – ユーザー権利が削除されました。
  • 4706 – 新しい信頼は、ドメインに作成されました。
  • 4707 – ドメインに信頼関係が削除されました。
  • 4719 – ドメイン ポリシーが変更されました。
  • 4864 – 名前空間の衝突が検出されました。

太字で示したイベントは、日常的な運用で発生することは非常に稀です。

不正であると断定するにはまだ早いですが、日常的に記録を取り、前後関係と比較して判断出来る材料を残しておくことが大切です。

※Windowsはデフォルトではこれらの攻撃を記録しないため、「監査ポリシー」内で記録をONにする必要があります。
管理者ツール「ローカルグループポリシーエディター」を使用して適切に設定を行ってください。

EventReporterを用いてイベントログを活用する

これらのイベントログをEventReporterで検知し、希望する処理を発動させるための設定を行います。

EventReporterに2つのルールを作成します。

  • 非常に疑わしいイベント
  • その他の疑わしいイベント

「非常に疑わしいイベント」から始めましょう。以下のようにフィルターを設定します。

「その他の疑わしいイベント」を条件としたフィルターはこちらです。

新たに作成したこれらのフィルターに合致した際にどんなアクションを発動させるか、用途に応じ選択して設定してください。

  • テキストファイルに書き込む
  • 管理者にメールで知らせる
  • 別のSyslogサーバに転送する

これで不審なイベントがあった際、すぐに対応をすることができます。

Windowsイベントログの管理ツール EventReporter

弊社では、WindowsイベントをSyslogに変換して送信する「EventReporter」を販売しています。

主な特長としては、

  • 日本語インターフェイス
  • 日本語ログを正常に処理
  • SyslogサーバーWinSyslogと併用し、共通のインターフェイスで操作
  • フィルタにより受信時アクションをカスタマイズ

などです。

評価版のダウンロード、マニュアル等をご用意しておりますので、この機会に是非お試しください。

EventReporterについての詳細は、製品紹介ページをご参照ください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 【Syslog監視】Syslogサーバーとネットワーク監視を連携。PRTGで重要なSyslogだけを監視する。

  2. システム管理者の特権アカウントを保護するための7つの方法

  3. 「Wiresharkでsyslogプロトコルパケットを覗く」syslog-ng Store Box活用連載企画vol.4

製品カテゴリー

JTC IT用語集
TOP