活用のコツ第3回では、ブルートフォースアタックによる「不正アクセスの検知」方法を紹介します。
不正アクセスによる被害
不正アクセスされたことが原因で、
・情報漏洩
・Webサイトの乗っ取り
・ウイルスの中継地にされる
などの被害が発生すると、企業の社会的信頼を大きく損なう可能性があります。
ブルートフォースアタック(Brute-force attack)とは
総当たり攻撃、力任せ攻撃とも呼ばれる、暗号解読方法のひとつ。可能な組合せを全て試すやり方でパスワードを特定するサイバー攻撃手法のこと。
Kiwi Syslog Serverには、Syslogを保存・管理するだけでなく、管理者が不正アクセスのような異常を検知できる仕組みがあります。
Threshold (しきい値)フィルター 設定
フィルターにThreshold (しきい値)フィルター設定を追加すると、フィルター設定内上側のフィルターが Y 秒に X 回の条件を満たすと真となります。
例えば、30 秒に 5 回以上メッセージに 「login failed」が含まれるシスログを受信している場合、ブルートフォースアタック の可能性があります。
また以下のオプション
Maintain individual threshold counts for each host address
の利用でホストアドレスごとのしきい値カウントを保持できるので、異常を検知したホスト別でアラートメールを発報することができます。
Threshold (しきい値)フィルター 設定例
Threshold(しきい値)フィルターを含むアラートメール設定例を紹介します。
「ログイン試行の失敗を監視する」設定の概要
何度も「login failed」が含まれるメッセージを受信した場合、ブルートフォースアタックの可能性があります。
この例では、30 秒に5 回以上、あるホストにおいて「login failed」を含むメッセージを受信した場合に、管理者へアラートメールを発報します。
フィルターは、「Message text」、「Flags/Counters」の2つ
アクションは、「E-mail message」を設定します。
設定内容
Rule: Failed login
Filters(フィルター設定)
①文字列 ”login failed”を含むメッセージログをフィルターする設定例
Filter: Field=Message text, Type=Simple
Include: “login failed” [S]
②あるホストにおいて「login failed」を含むメッセージを受信した場合に、
30 秒に5 回以上で真となるThreshold(しきい値)を指定する設定例
Filter: Field=Flags/Counters, Type=Threshold
Filter is true if event occurs 5 times in 30 seconds.
□Maintain individual threshold counts for each host address
を有効にすると、ホストアドレス毎のしきい値カウントを保持するので、異常を検知したIPアドレスのアラートメールを発報することができます。
注意:「Filter: Field=Flags/Counters」は必ずフィルター設定内で最後に配置してください。
Actions(アクション設定)
③E-mail message送信の設定例
Action: E-mail message
E-mail Subject:
Alert — Login failed 5 times in 30 seconds on %MsgIPAddr
E-mail Message:
Login failed 5 times in 30 seconds on %MsgIPAddr
%MsgText
ルール解説
文字列 「login failed」を含むメッセージログを受信すると①のフィルターが真になります。
次に②のThreshold (しきい値)フィルターが処理され、IPアドレス毎にカウントが始まります。
同じIPアドレスから30秒以内に5回「login failed」を含むメッセージを受信するとThreshold (しきい値)フィルターが真となるので、③のアクションであるアラートメールが発報されます。
Threshold(しきい値)設定をまずはお試し
Kiwi Syslog Server は、評価版で14日間お使いいただけます。
ダウンロード・お問合せは↓