侵入検知システムとは?
侵入検知システム(IDS)は、不正アクセスやサイバー攻撃がないか、ネットワークやサーバーの監視を行い、異常なイベントを検知し管理者に通知を行います。
さらに、不正侵入防御システム(IPS)は、検知した異常なイベントを通知した上で、嫌疑のあるアクティビティのブロックを自動で行います。
監視対象がネットワークの場合はネットワーク型(NIDS・NIPS)、サーバーなどホストを監視する場合はホスト型(HIDS・HIPS)に大別されます。
サーバーの監視、イベント検知には SolarWinds Security Event Manager(SEM)が有効です。以下にSolarWinds SEMを活用した具体的な運用方法を記載します。
SEMでできること
内部不正対策として、ホストへの侵入検知(HIDS)をSEMで実現する方法を紹介します。
サイバー攻撃には様々なものがありますが、ファイル、レジストリ設定の変更、削除、権限変更は、サイバー攻撃の可能性もあり、重要な役割を持つサーバーのファイル操作は常に監視が必要です。
SEMで提供する、ファイル操作を監視するFIM(File Integrity Monitoring)機能を使用し、ホスト上の疑わしいアクティビティや潜在的な悪意のあるアクティビティを監視する方法をご紹介します。
今回は例として、SEMで、Windows Server 2019上のファイル操作を監視します。ファイルの削除があった場合に、管理者にメール通知をするように自動応答アクションを設定します。
自動応答アクションには、メール通知の他、ネットワーク切断、ユーザーログオフなどアクティブな応答も設定することができます。
FIMを使用したファイル操作監視の設定手順
監視したいWindows 2019 サーバーにSEM Agentを導入し、サーバーのログをSEM Agent経由でSEM Managerに送信するように設定を行います。
SEM Agentに、ファイル整合性を監視するFIM(File Integrity Monitoring)コネクタを実装します。Windows 2019 サーバー上でファイル、ディレクトリ、レジストリなどに行われた動作(作成、書き込み、削除など)を監視し、イベントを検知、アラート通知することができます。SEM Agentの設定は、SEM Managerからリモートで一元管理でき、設定や変更をすることが可能です。
FIM(File Integrity Monitoring)コネクタは、ファイル、フォルダーおよびレジストリ設定の変更を検出してアラートする機能です。
SEM Managerはサーバーから送付されたログをリアルタイムで分析し、ファイル操作のアクティビティを常に監視します。
AgentにFIMコネクタを追加
監視対象のWindows 2019 サーバーに導入されたAgentに、ファイル操作の監視を行うため、FIMコネクタを追加します。
今回は、例として、AgentのFIMの設定画面で、監視対象の”c:\”以下のファイルが変更されたことを検出すると、そのイベントログをSEMに送信し記録するように設定します。
ホストのイベントログ(ファイル削除)をSEMで取得
監視対象のSEM Agentを導入したサーバーで、ファイルを削除する操作を行います。例として、”c:\test.exe”ファイルを削除します。SEM管理者の端末でSEMコンソール画面を開き、削除したイベントのログを取得していることを、以下の手順で確認します。
SEMのHistorical Events(ヒストリカルイベント)を開き、下記を検索し、絞り込みます。EventType(イベントタイプ)、DetectionIP(ログ送信元)、ToolAlias(ツール名称)を指定し、ログを絞込みします。
EventType= FileDelete ・・・ファイル削除を指定
DetectionIP=192.168.91.252 ・・・Windows 2019 サーバーのIPを指定
ToolAlias= FIM File and Directory ・・・FIMコネクタを指定
ルール・自動応答アクションの作成
次に、「c:\にあるファイルの削除」を異常イベントとして検知し、管理者へのメール送信を実行するように、ルールと自動応答アクションを設定します。
FileDeleteのログを検知するルールを作成し条件を設定します。
Rules(ルール)に設定する条件は、以下で設定します。
FileDelete.DetectionIP(ファイル削除イベントのログ送信元)および、FileDelete.ToolAlias(ファイル削除イベントのツール名称)を指定します。
FileDelete.DetectionIP=192.168.91.252 ・・・Windows 2019 サーバーのIPを指定
FileDelete.ToolAlias= FIM File and Directory ・・・FIMコネクタを指定
SEMにIncident Alertを送信するアクションを作成します。Incident Alert は、ルールで検知したアラートをインシデントとしてSEM自身に保管できます。
これにより、アラートをインシデントとして管理することができ、アラート発生後にインシデントを容易に調査することが可能になります。
以下の画面は、Incident Alertアクションのイベントログの設定画面です。
AlertType = HostIncident ・・・HostIncidentを指定
EventInfo = FileDelete.EventInfo
・・・EventInfoに、FileDeleteイベントのEventInfoの値を代入
InsertionIP = FileDelete.InsertionIP
・・・InsertionIP(SEMで検知したIP)に、FileDeleteイベントのInsertionIPの値を代入
ExtraneoustInfo = FileDelete.ExtraneoustInfo
・・・ExtraneoustInfo(その他関連情報)に、FileDeleteイベントのExtraneoustInfoの値を代入
SEMコンソール画面で、Historical Events(ヒストリカルイベント)タブを開き、検索フィールドで下記を検索します。Incident Alertで取得したイベントログを検索できます。
EventType = HostIncident
次に、管理者にメールを送信するルールを作成します。ルール検知後のACTIONSに「Send Email Message」 アクションを追加し、管理者にアラートメールを送付する設定を行います。
Windows 2019 サーバーでファイルを削除して、アラートメールが自動で送付されたか、テストを行います。例として、サーバーにログオンし、実際に”c:\test2.exe”を削除します。作成したルールとメール通知アクションが正常に動作して管理者にメールが送付されたかを、確認します。
管理者のメールアプリを開き、下記のメッセージの受信を確認しました。以上で、ファイル削除のイベント検知とアラートメールの動作確認が完了しました。
まとめ
今回は、SEMで、Windows 2019 サーバーでのファイル変更操作の監視を行う設定を行いました。内部不正対策として、ホストへの侵入検知(HIDS)、ホストへの不正侵入防御(HIPS)には、ファイル操作の監視は非常に有効です。SEMでは、イベント検知後にメール通知の他、ネットワーク切断、ユーザーログオフなどのアクティブな応答機能が標準で搭載されています。システム管理者がすぐに対応できない場合でも、検知したイベントに対してSEMの自動応答アクションで対応することができ、大変便利です。
以上、内部不正対策としてファイル操作監視を実現する機能を持つSolarWinds SEMをご紹介しました。
