「不正アクセスされていない?認証エラーのログを見逃さない!」syslog-ng Store Box (SSB)でリモートアクセスログを調査(その9)

螺子です。本連載記事では、リモートアクセスログを、さまざまなsyslog-ng Store Box (SSB)の機能を使用して調査してみます。
(リモートアクセスのセキュリティ対策については、こちらをご参照ください。)

はじめに

IPAから「情報セキュリティ10大脅威 2022」が発表されています。組織の脅威として「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクイン(4位)[1]しています。

テレワークなどで利用されるリモートアクセスは、これらの脅威に常に晒されています。

前回の記事ではそれらの脅威に対して認証エラーログおよびその早期検知の重要性について説明し、ログ管理サーバーで一つの対策を施しました。

また、総務省が公開している「テレワークセキュリティガイドライン(第5版)」には対策の一つとして以下[2]があげられています。

不審なログが記録された際に、自動的にアラートが通知されるようにする。

本ガイドでは、さまざまなテレワーク方式の説明とそれぞれの方式に対するセキュリティ対策が解説されています。テレワークを実施している組織の方は一読してみてはどうでしょうか?

以下のセクションでは、SSBのコンテンツベースアラート機能を使って認証エラーログが発生した場合に管理者にアラートを通知してみます。

[1]「情報セキュリティ10大脅威 2022」より
[2]「テレワークセキュリティガイドライン(第5版)」「10.インシデント対応・ログ管理」の”J-10″より

コンテンツベースアラートとは

さて、前回は”メッセージフィルター(ログパス)”機能を使用して、リモートアクセスの失敗(認証エラー)ログのみを選択して保存しました。これにより、リモートアクセスの失敗(認証エラー)ログをすぐに閲覧・検索可能となりました。

定期的な監視といっても、一時間ごとにSSBにログインして認証エラーログの有無を確認しなければならないのでしょうか? このような作業は煩雑で、形骸化して重要なログ(ここでは、認証エラーログ)を見落としてしまう可能性があります。

SSBは、特定のメッセージを受信したときに、管理者にe-mailによるアラートを生成することができます。これにより、認証エラーログを見落とすことなく、該当ログの詳細を閲覧して確認することができます。

今回は”コンテンツベースアラート”機能を使用して、特定のメッセージ(ここでは、認証エラーログ)を受信したときに、管理者にe-mailアラートを送信します。

コンテンツベースアラートについては、過去記事「syslog-ng Store Box大活用連載企画第13回「コンテンツベースアラート。重要なログを見逃さない!」」でも紹介していますが、今回は、おさらいも兼ねて、再度、ここで手順を追って説明します。

アラートターゲット(アラート送信先)設定

まず、アラートターゲット(アラート送信先)を設定します。

[Policies]>[Alert targets]に移動し、ボタンをクリックします。新しいアラートターゲット設定を記述するための追加のフィールドが表示されます。

新しいアラートターゲット名として、”SOC_teams”と入力します。

[Target email address]フィールドにアラートメールの送信先アドレスを入力します。[Cooldown period]には、次のアラートメールが送信されるまでの間隔(秒)を指定(ここでは、”300″)します(間隔(秒)の最小値は60です。この間隔内のアラートが送信されます)。

図1.アラートターゲット(アラート送信先)設定例

[Commit]をクリックして、設定を保存します。

※アラートメールが正しく送信されるように、[Basic Settings]>[Management]の[Mail settings]セクションでメールサーバーが適切に設定されている必要があります。

コンテンツベースアラート設定

次に、検索ページでコンテンツベースアラートを設定します。

[Search]>[Logspaces]に移動し、[Logspace]ドロップダウンリストからログを検索するログスペースを選択(ここでは、”failed”)します。

[Search expression]フィールドに、検索式(ここでは、”XAUTH authentication failed”)を入力し、[Search]ボタンをクリックして、検索結果を出力します。

グラフとログリストの間のをクリックします。

[Alert name]にアラート名(ここでは、”Failed_alert”)を入力し、[Targets]フィールドに、送信先(上述で設定したアラートターゲット:SOC_teams)を選択します。

図2. コンテンツベースアラート設定例

[Create alert]をクリックして、設定を保存します。

※[Search]>[Content-Based Alerts]ページで、直接コンテンツベースアラートを設定することもできますが、ここでは割愛します。過去記事「syslog-ng Store Box大活用連載企画第13回「コンテンツベースアラート。重要なログを見逃さない!」」を参照してください。

コンテンツベースアラートメール例

コンテンツベースアラートに設定したメッセージが指定したログスペースに保存されると、管理者に以下のようなアラートメールが届きます。

図3. コンテンツベースアラートメール例

コンテンツベースアラートメールに記載された、URLにアクセスすると検知したログメッセージがリストされている検索ページが開きます。

コンテンツベースアラートの検索結果例

※URLはホスト名を使用しています。DNSで名前解決できない場合、クライアントのhostsファイルにホスト名と対応するIPアドレスを記述してください。

SSBの機能

本記事で使用したSSBの機能は以下の通りです。

  • コンテンツベースアラート

参考資料

コンテンツベースアラートの詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「12.4 コンテンツベースアラートの作成」を参照してください。

また、コンテンツベースアラートについては、過去記事「syslog-ng Store Box大活用連載企画第13回「コンテンツベースアラート。重要なログを見逃さない!」」でも紹介していますのでご参照してください。本記事では紹介していない、[Search]>[Content-Based Alerts]ページでの設定についても説明しています。

SSBでは、特定のログを受信した場合にアラートを通知する機能として”パターンデータベース(パターンDB)”を利用する方法もありますが、この機能については別の機会に紹介したいと思います。

いかがでしたでしょうか。今回は、”コンテンツベースアラート”機能を使って認証エラーログが発生した場合に管理者にアラートを通知してみました。

それでは、次回の連載記事をお楽しみに!

これまでの「リモートアクセスログを調査」連載記事

「syslog-ng Store Box大活用連載企画」連載記事リスト

SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。

syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。

製品紹介ページ
製品ガイド
評価版ダウンロード
お問い合わせ

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

NetFlow sFlow SNMP SSB Syslogサーバー シスログサーバー セキュリティブログ トラフィック監視 ネットワークモニター ネットワーク監視 ログサーバー ログ保存 ログ管理 ログ管理ブログ 機器・サーバー監視のへや

JTC IT用語集
TOP