Nagios Log Serverでできる不正ログオンの監視


Nagios Log Server画面
Nagios Log Server画面

不正ログオンについて

リモートワークの拡大により、業務システムでは、外部からの攻撃や内部ユーザーからの不適切な行動など、さまざまなリスクが増えています。

業務システムではWindowsドメインがよく使われています。

そのため、Windowsのセキュリティログを集中管理すれば、異常に早く気づくことができます。

Nagios Log Serverには強力な検索機能があります。よく使用する操作はダッシュボードにまとめておくと便利です。

今回は、ログオン失敗のイベントログの監視結果を見やすくするために、カスタムダッシュボードを作成しました。

Nagios Log Serverのカスタムダッシュボード
Nagios Log Serverのカスタムダッシュボード

カスタムダッシュボードに、ログオン失敗ID、ログオン失敗ホスト、ログオン失敗の理由が表示されています。

不正ログオンは、重要情報の不正取得やその他の不正アクセスの入り口になり、早期に発見することが重要です。見やすいカスタムダッシュボードは、不正ログオンの早期発見に役立ちます。

今回のブログでは、「ログオン失敗(Windowsへのサインイン)」にフォーカスします。

たまにパスワードを間違えることはありますが、多すぎる失敗は不正アクセスをしようとする攻撃かもしれません。

不正ログオンの攻撃手法にブルートフォース攻撃や辞書攻撃(*)があります。これらの攻撃では、何度もログオン失敗イベントが発生します。そのため、ログオン失敗が頻繁に発生していないか確認することは重要です。

* ブルートフォース攻撃・辞書攻撃とは
ログオンIDやパスワードといった認証情報を、不正に入手しようとする攻撃手法です。ブルートフォース攻撃では、考えられる文字列の組み合わせをすべて認証情報として試します。辞書攻撃では、あらかじめ準備した認証情報のリストを、辞書として参照しながらログオンを試行する攻撃です。通常どちらの場合も、多数のログオン失敗が発生します。

Windows EventReporterとの連携

Windows側の設定

本記事では、Windowsからセキュリティイベントログを送信するのに、EventReporter v18.1を用いています。
EventReporterの設定の詳細については「EventReporterのドキュメントページ」から「ユーザーマニュアル (日本語)」を参照してください。

EventReporter以外のソフトウェアをご利用の場合、Windows側からイベントログをJSON形式で送信する必要があります。

Nagios Log Server側の設定

Nagios Log Serverには、Windowsイベントログを受信する設定が、デフォルトで組み込まれています。

Nagios Log ServerのWeb GUIから、[構成メニュー] > [グローバル構成]をクリックし、Windows Event Log (Default)を表示すると、以下のインプット設定を確認できます。

tcp {
    type => 'eventlog'
    port => 3515
    codec => json
}
Windows Event Logインプット設定

TCPプロトコルで、イベントログを3515番ポート、JSONフォーマットで受信するように定義されています。

ログオン失敗のイベント表示例

はじめに述べましたように、Nagios Log Serverには強力な検索機能があり、よく使用する操作や表示方法を、カスタムダッシュボードとしてまとめることができます。

次の図は、今回作成したログオン失敗のイベントログを監視するためのカスタムダッシュボードの全体です。

カスタムダッシュボード全体
カスタムダッシュボード全体

ログオン失敗ID、ログオンが失敗したホスト、ログオンの失敗の理由が表示されているのがわかります。

ログオン失敗ID、ログオンが失敗したホスト、ログオン失敗の理由
ログオン失敗ID、ログオンが失敗したホスト、ログオン失敗の理由

ここで、ログオン失敗IDのうち”machigai-user”について絞り込んでみます。それには、「ログオン失敗ID」パネルの “machigai-user”の右側の虫眼鏡アイコン(🔍)をクリックします。

ログオン失敗ID machigai-user での絞り込み
ログオン失敗ID machigai-user での絞り込み

“machigai-user”での絞り込みの結果、ダッシュボードの表示が以下のように変わります。

ログオン失敗IDとログオン失敗の理由
ログオン失敗IDとログオン失敗の理由

「ログオン失敗の理由」と「失敗の理由の説明」を見ると、”machigai-user”は、ログオンIDが間違っていることがわかります。
この場合、存在しない”machigai-user”に対して、ブルートフォース攻撃や辞書攻撃を行っている可能性が考えられます。
Nagios Log Serverでは、ログオン失敗がある回数を超えたら、アラートメールを管理者に送るといった設定もできます。

興味を持たれた方へ

Nagios Log Serverは、Windowsと連携することにより、不正ログオンの試行を監視することが可能になります。

本記事でご紹介しましたNagios Log Serverには、30日間無償で使用できる評価版がございます。仮想マシンイメージも提供されておりますので、簡単に検証が開始できます。興味を持たれた方は、本記事の最後からアクセスをお願いいたします。

また、EventReporterにつきましても、30日間無償で使用できる評価版がございます。

評価、購入をご希望の方は、EventReporterの製品ページをご覧ください。

Nagios Log Serverは、ログの集中管理・監視・分析のためのソフトウェアアプリケーションです。

以下の特長があります。

  • ログデータの調査や検索の容易性
  • リアルタイムでのログデータの表示、発生した問題の迅速な分析
  • レイアウト、デザイン、プリファレンスをユーザー単位でカスタマイズ可能なダッシュボード
  • 容易なスケールアウトによる性能・信頼性の向上
  • 既存環境、他社製品との統合性
  • さまざまなアラート手段によるネットワークセキュリティへの対応

Nagios Log Serverについての詳細は、製品紹介ページ・製品ガイドをご参照ください。

無料評価版のダウンロード

お問合わせ

こんな記事も読まれています

最新記事

おすすめ記事

  1. 「リモートデスクトップの操作が遅い!」の原因を高速特定!ntopngによる輻輳原因の究明アプローチを実例でご紹介

  2. フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと

  3. 「疑わしい」Windowsイベントログを抽出して、イベントログを活用する

製品カテゴリー

NetFlow ntop sFlow SNMP SSB Syslogサーバー シスログサーバー セキュリティブログ トラフィック監視 ネットワークモニター ネットワーク監視 ログ保存 ログ管理 ログ管理ブログ 機器・サーバー監視のへや

JTC IT用語集
TOP