不正アクセスされていない？認証エラーログを可視化(平常時の確認) ～ syslog-ng Store Box (SSB)でリモートアクセスログを調査(その12)～

2023年9月8日公開
2023年9月8日更新
syslog-ng PE syslog-ng Store Box
SSB Syslogサーバーカスタムレポートシスログサーバーログサーバーログ保存ログ管理

本連載記事では、リモートアクセスログを、さまざまなsyslog-ng Store Box (SSB)の機能を使用して調査してみます。
(リモートアクセスのセキュリティ対策については、こちらをご参照ください。)

はじめに

IPAから「情報セキュリティ10大脅威 2023」が発表されました。組織の脅威として「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクイン(5位)^[1]しています。ランキングは前年度より1つ下がったものの、脅威としては依然として注意が必要ではないでしょうか？

また、総務省が公開している「テレワークセキュリティガイドライン（第5版）」には対策の一つとして以下^[2]があげられています。

管理者Ｊ-９発展対策
管理者権限の使用状況や、重要情報へのアクセス履歴については、平時から定期的にログの確認を実施する。

＜ログの確認＞
○ログの効率的な確認のためには、攻撃者の探索活動を検知するため、アクセスログのうち拒否ログや、管理者権限等の特権IDに対するログイン失敗の履歴を定期的に確認することが効果的です。【管理者Ｊ-９】

リモートアクセスの認証エラーログで例えると、平常時の認証エラーログの履歴(パターンなど)を平時から確認し、平常時と異なる履歴(パターンなど)の場合、攻撃を受けている可能性があるとして、セキュリティ調査の判断基準となるのではないでしょうか。

過去記事「「不正アクセスされていない？認証エラーの確認はしなくて大丈夫？」syslog-ng Store Box (SSB)でリモートアクセスログを調査(その8)」で認証エラーログのみ閲覧・検索できるようにしましたが、ログの履歴(パターン)を可視化して定期的に通知し、確認できないでしょうか？

今回は、SSBの”カスタムレポート”機能を使って認証エラーログを可視化して、定期的に管理者に通知してみます。

[1]「情報セキュリティ10大脅威 2023」より
[2]「テレワークセキュリティガイドライン（第5版）」「10．インシデント対応・ログ管理」の”Ｊ-9″より

カスタム統計情報レポート設定

それでは、カスタムレポートを設定してみます。

以前の記事で、認証エラーログのみを保存(ログスペース名`failed`)しました、検索ページでこのログスペースを選択します。

`.sdata.kv.xauthuser`フィールド(カラム)には、ユーザー名が出力されています。このフィールド()のをクリックします。

※`.sdata.kv.xauthuser`フィールド(カラム)の出力方法については、過去記事「syslog-ng Store Box大活用連載企画第5回「Ciscoスイッチ、FortigateファイアウォールログをSSBで受信！よりログを検索しやすく」」を参照してください。

ログの統計情報が表示されます。ここでは、ユーザー毎の認証エラーがカウントされています。

カスタムレポートを設定するには、`Report settings`をクリックします。

[Report settings]セクションが展開されるので、作成するカスタム統計情報レポートに関する設定を行います。

[Report subchapter name]フィールドにカスタム統計情報レポートの名前(サブチャプター名)を入力します。
[Visualization]でレポートの表示方法([List](リスト形式)、[Pie chart](円グラフ)または[Bar chart](棒グラフ))およびソート方法([Top](降順)または[Least](昇順))を選択します。
[Number of entries]にレポートに出力する要素の数を選択します([List]選択時のみ)。
[Grant access for the following user groups]フィールドにサブチャプターにアクセスできるユーザーグループを選択します。