不正アクセスされていない?認証エラーのログを見逃さない!(メッセージレートアラート) ~ syslog-ng Store Box (SSB)でリモートアクセスログを調査(その11)~

本連載記事では、リモートアクセスログを、さまざまなsyslog-ng Store Box (SSB)の機能を使用して調査してみます。
(リモートアクセスのセキュリティ対策については、こちらをご参照ください。)

はじめに

IPAから「情報セキュリティ10大脅威 2023」が発表されました。組織の脅威として「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクイン(5位)[1]しています。ランキングは前年度より1つ下がったものの、脅威としては依然として注意が必要ではないでしょうか?

また、総務省が公開している「テレワークセキュリティガイドライン(第5版)」には対策の一つとして以下[2]があげられています。

不審なログが記録された際に、自動的にアラートが通知されるようにする。

前回までの記事で、認証エラーは不正アクセスの兆候と捉え不審なログとして認証エラーログが発生した場合にアラートを通知する方法を紹介しました。

ただし、実際には正規ユーザーが、たまたまユーザーIDやパスワードを間違えているケースもあります。できれば、特定の時間内に認証エラーが多発した場合にアラートを上げることができれば、ブルートフォース攻撃など兆候として捉えられないでしょうか?

今回は、SSBの”メッセージレートアラート”機能を使って認証エラーログが特定の時間内に複数発生した場合に管理者にアラートを通知してみます。

[1]「情報セキュリティ10大脅威 2023」より
[2]「テレワークセキュリティガイドライン(第5版)」「10.インシデント対応・ログ管理」の”J-10″より

メッセージレートアラートとは

測定時間内のログ数(受信または送信)の最小値から最大値を閾値として設定し、閾値を超えたログ数の(つまり、最小値より少ない、あるいは最大値より多いログ数が発生した)場合にアラートを通知します。

メッセージレートアラートは、主に以下の異常を検知するのに利用できます。

  • SSB 内部の syslog-ng の動作停止。
  • ログを送信するクライアントあるいはサイトが検出できません。
  • クライアントあるいはサイトの 1 つが不必要に大量のログを送信しています。

メッセージアラート設定

それでは、メッセージアラートを設定してみます。

以前の記事で、認証エラーログのみを保存(ログスペース名`failed`)するように設定しました。

[Log]>[Logspaces]に移動し、`failed`のをクリックし、設定画面を展開します。

図1. `failed`ログスペース例

下方の[Alerting]セクションの[Message rate alerting]のチェックボックスを有効にします。

図2 . [Alerting]セクション例

設定画面が表示されます。ここでは、以下のように設定します。これにより、5分間に3回以上の認証エラーログが発生した場合にアラートを通知できるようになります。

  • Counter: Messages(固定)
  • Period: 5 minutes (測定時間5分間)
  • Minimum: 0 (最小ログ数は0)
  • Maximum: 2 (最大ログ数は2)
  • Alert: Always (常にアラートを生成)
図3. メッセージレートアラート例

※アラートが送信されるように、[Basic Settings]>[Alerting & Monitoring]の`Message rate was outside the specified limits`を有効にするのを忘れないでください。また、適切にメールサーバーあるいはSNMPマネージャーを設定します(設定方法については、過去記事「SSBの監視とアラート!SNMPマネージャーで監視およびSNMPトラップを受信してみる」を参照してください)。

メッセージレートアラートメール例

メッセージレートアラートが発生すると、管理者に以下のようなアラートメールが送信されます(SNMPトラップの場合も同様な情報がトラップされます)。主な情報は以下になります。

  • parent: メッセージレートアラートが発生したログスペース(ここでは、`failed`。ds_はプレフィックスです)。
  • violationNumber: 指定時間内に受信したメッセージ数。
  • min: メッセージレートアラートに設定した最小値。
  • max: メッセージレートアラートに設定した最大値。
図4. メッセージレートアラートメール例

さて、特定時間内に発生した認証エラーのログ数に基づいてアラートを上げましたが、特定時間内にユーザー毎の認証エラーのログ数に基づいてアラートを上げるにはどうしたらいいでしょうか?

残念ながら、SSBでは上述のことは実現できません。このようなことを実現するには、より高度なログを分析あるいは解析ができるSIEM製品の土俵になりそうです。SIEMについてご興味のある方は、サイバー攻撃や脅威検知への有効手段 SIEMをご参照ください。

SSBの機能

本記事で使用したSSBの機能は以下の通りです。

  • メッセージレートアラート

参考資料

メッセージレートアラートの詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「4.6.4 メッセージレートアラート設定」を参照してください。

いかがでしたでしょうか。今回は、”メッセージレートアラート”機能を使って認証エラーログが特定時間内に指定した数を超えて発生した場合に管理者にアラートを通知してみました。

それでは、次回の連載記事をお楽しみに!

これまでの「リモートアクセスログを調査」連載記事

「syslog-ng Store Box大活用連載企画」連載記事リスト



SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。

syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 【Syslog監視】Syslogサーバーとネットワーク監視を連携。PRTGで重要なSyslogだけを監視する。

  2. システム管理者の特権アカウントを保護するための7つの方法

  3. 「Wiresharkでsyslogプロトコルパケットを覗く」syslog-ng Store Box活用連載企画vol.4

製品カテゴリー

JTC IT用語集
TOP