【LogPoint】Windowsサーバーの情報を収集する

はじめに

Logpoint は、次世代のSIEM(セキュリティ情報およびイベント管理)製品です。
サイバー攻撃や潜在的な問題を可視化し、インシデントの発生を未然に防ぐためにも、
さまざまなソースからの情報を収集する必要があります。

現在、企業で使用されるPCのOSは、Windowsが多数をしめており、ユーザー管理等を行う上でも、Windowsサーバーは多くの企業で導入されていることでしょう。

今回は、Windowsサーバーから情報収集を行う方法を簡単に説明します。

Logpoint Agent Collector

Logpointには、無償で利用できる Logpoint エージェントコレクターが含まれています。
Logpoint エージェントコレクターを使用することで、Windowsイベントログやフラットファイルの収集はもちろんのこと、ファイル整合性スキャナにより、ファイル/ディレクトリに加えられた変更の監視や、レジストリのスキャンも可能です。

エージェントの設定は Logpointによって集中管理されるため、手間もかからず、収集した情報は イベントIDなどで細かくフィルタリングすることも容易です。

Logpoint エージェントコレクターの主な機能

  • イベントログの収集
  • フラットファイルの取得
  • ファイルの整合性チェック
  • Windowsレジストリのスキャン

テスト環境

◆ Logpoint

  • Logpoint エージェントコレクター を使用
  • 正規化ポリシー、処理ポリシーを設定
  • 対象のデバイスとして、Windows Server 2022 を設定
  • 使用するコレクターは以下の通り
    • Logpoint_Agent_Collector_5.2.6.pak
    • Windows_5.4.9.pak

Windows Server 2022

  • Logpoint エージェント をインストール
  • ローカル セキュリティ ポリシーでファイルアクセスとログオンの監視機能を有効に設定
  • インストールするエージェントは以下の通り
    •  Logpoint_Agent_5.3.0.msi

Windowsサーバーからの情報収集 (Logpointでの対応)

イベントログの収集

Windows Eventlog Collectionを使用することで、Windowsサーバーからイベントログを収集できます。イベントログを収集、分析することで、Windowsデバイスの状態を把握することに役立ちます。

さっそく イベントログの収集を行ってみましょう。
ここでは、Windowsのログインでエラーを発生させてみます。

まずは、Logpoint エージェントコレクター の Windows Eventlog Collection を以下のように設定します。

[設定内容]

項目 設定値 説明
Category Security 収集する Windowsイベントのカテゴリを指定
Levels Critical, Warning, Error, Information 収集するイベントログのレベルを指定
Event ID (指定なし) 特定のイベントIDを包含したり除外する場合は入力
Resolve SID 有効 ログメッセージ内のキュリティIDの名前解決する場合は選択
設定画面

設定ができたら、早速ためしてみましょう。
対象の Windowsサーバー で、ログイン時にパスワードを間違ってみます。

ログイン失敗

ログインに失敗しました。

Logpoint エージェントコレクターによって ログが収集されたかを確認してみます。
Logpointの検索画面で 次のクエリを使用します。

col_type = LPAgent and module_type = event_log and label=Login
ログイン失敗ログ

これで、Windowsサーバーでのログイン失敗のイベントログが収集されていることが確認できました。

今回は、ログインエラーで試してみましたが、Windows Eventlog Collection の設定内容を変更することで、多くの Windows イベントログを収集することができます。

イベントログの監視計画

Windowsイベントは大量のログを出力する可能性がありますが、そのすべてが SIEM の監視と分析に関連しているわけではありません。 SIEM の効果を最大化するためにも、どのログを監視するかを計画することが重要です。

フラットファイルの取得

イベントログ以外にも、フラットファイルの情報を収集することも可能です。
アプリケーションのログファイル等を使用することで、独自のイベントが収集できます。

それでは、フラットファイルからのログ収集を行ってみましょう。

Logpoint エージェントコレクター の File Collection を以下のように設定します。

[設定内容]

項目 設定値 説明
Name WindowsFC 任意の名前を入力
Path C:\Users\Administrator\Documents\LogPoint\FileCollection.log 対象のファイルまたはディレクトリのパスを入力
Poll Interval 5 秒 ファイルを取得するポーリング間隔を入力
Save Position 有効 エージェントの停止時に、ファイルの位置を保存する場合は選択
Recursive 無効 指定したパス内で再帰的にファイルとディレクトリを検索する場合は選択
フラットファイル収集 設定

独自のログファイルを想定し、Windowsサーバーのファイル(C:\Users\Administrator\Documents\LogPoint\FileCollection.log)にログを書き込みます。

フラットファイル出力

Logpointの検索画面で 次のクエリを使用し、ファイルからログが収集されたことを確認します。

col_type = LPAgent and module_type = file_collection
フラットファイル収集ログ

イベントログと同様に、フラットファイルからも ログが収集されることが確認できました。
ファイルの指定は追加することもできますので、複数ファイルからの収集も対応可能です。

ファイルの整合性チェック

ログファイルの収集以外の機能として、ファイルやディレクトリの監視を行うことができます。
指定したファイルやディレクトリをスキャンし、新規作成や変更、削除をチェックします。
予期しないファイルへのアクセスや、不正アクセスによる改ざん等を検知するのに役立ちます。

試しにディレクトリとファイルを監視してみましょう。

Logpoint エージェントコレクター の File Integrity Scanner を以下のように設定します。

[設定内容]

ファイル整合性チェック 設定

まずは、Windows Server の C:\Users\Administrator\Documents\LogPoint 配下に “Integrity”という名のディレクトリを作成し、その中に ファイル名 “FileCheck.txt” でファイルを作成します。

フラットファイル作成

作成が終わったら、Logpointの検索画面で次のクエリを使用し、ファイル整合性チェックによって生成されたログを確認します。

col_type = LPAgent and module_type = file_scanner
ディレクトリ/ファイル作成ログ

ディレクトリの作成とファイルの作成が記録されていることが確認できました。
今度は、ファイル名を “FileCheck_Rename.txt” に変更してみましょう。

ファイル名変更

同じように、先ほどのクエリでログを検索すると、

ファイル名変更ログ

ファイル名が変更されたログが確認できます。
ファイルの内容を編集した場合はどうでしょうか。
ファイルに ログを書き出してみます。

ファイル編集

ログの検索結果は、

ファイル編集ログ

ファイルの編集が記録されています。
最後に、作成したディレクトリを削除してみましょう。

ディレクトリ削除

こちらも、ファイルとディレクトリが削除されたログが記録されました。

ファイル削除ログ

ここでは検証のため、これらのファイル操作は手動で行っていますが、実際に手動でファイルを操作することはあまりないでしょう。
人の目が届かない分、不正なファイル操作は発見が遅れがちです。被害が拡大する前に検知することが大切です。

レジストリのスキャン

ファイルやディレクトリの監視だけでなく、レジストリの監視も可能です。
Windowsレジストリをスキャンし、レジストリの変更または削除をチェックします。
通常とは異なるレジストリの変更等、システム異常を検知します。

レジストリの監視も試してみます。
Logpoint エージェントコレクター の File Integrity Scanner を以下のように設定します。

[設定内容]

項目 設定値 説明
Name WindowsRS 任意の名前を入力
Include Reg Value HKLM\SOFTWARE\* スキャンするターゲットWindowsレジストリのパスを入力
Exclude Reg Value (指定なし) スキャンを除外する Windowsレジストリのパスを入力
Schedule 300秒 間隔 実行するスケジュールを選択するか、実行間隔を入力
Recursive 有効 指定したパス内を再帰的にスキャンる場合は選択
32-Bit System 無効 32ビット Windowsデバイスのレジストリをスキャンする場合は選択
レジストリスキャン 設定

始めに、監視対象の \HKEY_LOCAL_MACHINE\SOFTWARE に、サブキー(LogPointTest)と エントリ(LPtest)を作成しておきます。

レジストリ作成

作成できたら、次はエントリの値を変更してみましょう。

レジストリエントリ変更

変更が終わったら、Logppointの検索画面で 次のクエリを使用し、レジストリスキャンのログを確認します。

col_type = LPAgent and module_type = registry_scanner
レジストリ変更ログ

レジストリが変更されたログが確認できます。
今度はエントリの値ではなく、作成したサブキーを変更してみます。

レジストリキー変更

ログの検索結果は、

レジストリ削除追加ログ

変更前のキーでのエントリが削除されたものとして記録されています。
少しわかりにくいですが、これは、変更前のキーでのエントリがなくなり、変更後のキーでエントリが追加されたように扱われるためです。

最後に、作成したサブキーごと削除します。

レジストリキー削除

変更後のサブキーについても、エントリの削除ログが記録されました。

レジストリ削除ログ

不正アクセスで使用されるプログラムは、永続化や潜伏といった目的のため、レジストリを改変することがあります。
不正の早期発見のためにも、レジストリの監視は有効です。

まとめ

本記事では、Windowsサーバーからの情報収集方法について紹介しました。
Logpointには、初めからエージェントコレクターが用意されており、Windowsへエージェントを導入するだけで簡単に情報取得が可能です。
ぜひ、導入を検討してみてください。

今回は簡素な方法で確認しましたが、実際の利用状況にあわせた細かな設定も行えます。
詳細は公式ドキュメントLogpoint Agent Collectorを参照してください。

by ka

Logpointの長所・製品情報

  1. Logpoint は、Windowsのイベントログなどを正規化する時に、自動的にログを分類して標準化したラベル(fileやwriteなど)を付加します。そのため、label=file、label=write、label=login のようにラベルを使用してログを検索することができます。また、項目名もuserやfileのように標準化されており、フォーマットが異なるデバイスなどのログを相関分析することができるようになっています。Logpoint ではこれをシングル タクソノミーと呼んでいます。
  2. Logpoint は、ログの種類に応じた正規化の定義を数多く装備しており、インストール後すぐに異常検知や分析をすることができます。
  3. 新しい形式のログをサポートするには、そのログ形式用のプラグインをインストールすることにより容易に対応できます。このプラグインはメーカーに作成を依頼できますし、お客様自身で容易に作成することもできます。

製品一覧からLogpointを選択してください

Logpointをインストール後に評価ライセンスをリクエストしてください

こんな記事も読まれています

最新記事

おすすめ記事

  1. 「リモートデスクトップの操作が遅い!」の原因を高速特定!ntopngによる輻輳原因の究明アプローチを実例でご紹介

  2. フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと

  3. 「疑わしい」Windowsイベントログを抽出して、イベントログを活用する

製品カテゴリー

JTC IT用語集
TOP