本連載記事では、リモートアクセスログを、さまざまなsyslog-ng Store Box (SSB)の機能を使用して調査してみます。
(リモートアクセスのセキュリティ対策については、こちらをご参照ください。)
はじめに
IPAから「情報セキュリティ10大脅威 2023」が発表されました。組織の脅威として「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクイン(5位)[1]しています。ランキングは前年度より1つ下がったものの、脅威としては依然として注意が必要ではないでしょうか?
また、総務省が公開している「テレワークセキュリティガイドライン(第5版)」には対策の一つとして以下[2]があげられています。
不審なログが記録された際に、自動的にアラートが通知されるようにする。
前回までの記事で、認証エラーは不正アクセスの兆候と捉え不審なログとして認証エラーログが発生した場合にアラートを通知する方法を紹介しました。
ただし、実際には正規ユーザーが、たまたまユーザーIDやパスワードを間違えているケースもあります。できれば、特定の時間内に認証エラーが多発した場合にアラートを上げることができれば、ブルートフォース攻撃など兆候として捉えられないでしょうか?
今回は、SSBの”メッセージレートアラート”機能を使って認証エラーログが特定の時間内に複数発生した場合に管理者にアラートを通知してみます。
[1]「情報セキュリティ10大脅威 2023」より
[2]「テレワークセキュリティガイドライン(第5版)」「10.インシデント対応・ログ管理」の”J-10″より
メッセージレートアラートとは
測定時間内のログ数(受信または送信)の最小値から最大値を閾値として設定し、閾値を超えたログ数の(つまり、最小値より少ない、あるいは最大値より多いログ数が発生した)場合にアラートを通知します。
メッセージレートアラートは、主に以下の異常を検知するのに利用できます。
- SSB 内部の syslog-ng の動作停止。
- ログを送信するクライアントあるいはサイトが検出できません。
- クライアントあるいはサイトの 1 つが不必要に大量のログを送信しています。
メッセージアラート設定
それでは、メッセージアラートを設定してみます。
以前の記事で、認証エラーログのみを保存(ログスペース名`failed`)するように設定しました。
[Log]>[Logspaces]に移動し、`failed`の
をクリックし、設定画面を展開します。
下方の[Alerting]セクションの[Message rate alerting]のチェックボックスを有効にします。
設定画面が表示されます。ここでは、以下のように設定します。これにより、5分間に3回以上の認証エラーログが発生した場合にアラートを通知できるようになります。
- Counter: Messages(固定)
- Period: 5 minutes (測定時間5分間)
- Minimum: 0 (最小ログ数は0)
- Maximum: 2 (最大ログ数は2)
- Alert: Always (常にアラートを生成)
※アラートが送信されるように、[Basic Settings]>[Alerting & Monitoring]の`Message rate was outside the specified limits`を有効にするのを忘れないでください。また、適切にメールサーバーあるいはSNMPマネージャーを設定します(設定方法については、過去記事「SSBの監視とアラート!SNMPマネージャーで監視およびSNMPトラップを受信してみる」を参照してください)。
メッセージレートアラートメール例
メッセージレートアラートが発生すると、管理者に以下のようなアラートメールが送信されます(SNMPトラップの場合も同様な情報がトラップされます)。主な情報は以下になります。
- parent: メッセージレートアラートが発生したログスペース(ここでは、`failed`。ds_はプレフィックスです)。
- violationNumber: 指定時間内に受信したメッセージ数。
- min: メッセージレートアラートに設定した最小値。
- max: メッセージレートアラートに設定した最大値。
さて、特定時間内に発生した認証エラーのログ数に基づいてアラートを上げましたが、特定時間内にユーザー毎の認証エラーのログ数に基づいてアラートを上げるにはどうしたらいいでしょうか?
残念ながら、SSBでは上述のことは実現できません。このようなことを実現するには、より高度なログを分析あるいは解析ができるSIEM製品の土俵になりそうです。SIEMについてご興味のある方は、サイバー攻撃や脅威検知への有効手段 SIEMをご参照ください。
SSBの機能
本記事で使用したSSBの機能は以下の通りです。
- メッセージレートアラート
参考資料
メッセージレートアラートの詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「4.6.4 メッセージレートアラート設定」を参照してください。
いかがでしたでしょうか。今回は、”メッセージレートアラート”機能を使って認証エラーログが特定時間内に指定した数を超えて発生した場合に管理者にアラートを通知してみました。
それでは、次回の連載記事をお楽しみに!
これまでの「リモートアクセスログを調査」連載記事
- (その1)「フィルターログスペースを使用して必要なログのみ検索・抽出してみる!」
- (その2)「マルチログスペースを使用してログを集約してみる!」
- (その3)「リモートログスペースを使用して他のSSBに保存したログを検索・抽出してみる!」
- (その4)「サービス残業させていない?リライトを使用して日時を指定して検索してみる!」
- (その5)「サービス残業させていない?業務時間外勤務の実態をグラフで見やすく!」
- (その6)「サービス残業させていない?レポートを日ごと、週ごと、月ごとに定期的に送信!」
- (その7)「不正アクセスされていない?アクセス元IPアドレスから国・都市・ASNの調査!」
- (その8)「不正アクセスされていない?認証エラーの確認はしなくて大丈夫?」
- (その9)「不正アクセスされていない?認証エラーのログを見逃さない!(コンテンツベースアラート)」
- (その10)「不正アクセスされていない?認証エラーのログを見逃さない!(パターンデータベースアラート)」
「syslog-ng Store Box大活用連載企画」連載記事リスト
- 第1回「syslog-ng Store Boxを知る」
- 第2回「syslog-ng Store Boxを仮想環境にインストールする」
- 第3回「syslog-ng Store Boxで出来ることまとめ」
- 第4回「Wiresharkでsyslogプロトコルパケットを覗く」
- 第5回「Ciscoスイッチ、FortigateファイアウォールログをSSBで受信!よりログを検索しやすく」
- 第6回「RPC APIを使ってみる、自社システムに統合!ログ検索の自動化!」
- 第7回「Active Directoryと連携して、Active Directoryユーザー認証!」
- 第8回「SSBをHA(High Availability)構成で構築してみる!」
- 第9回「ログをバイナリおよびテキスト形式で保存、違いを比較してみる」
- 第10回「ログファイルを共有して、外部ホストからアクセスしてみる!」
- 第11回「フィルターを使用して、必要なログのみ保存してみる!」
- 第12回「SSBの監視とアラート!SNMPマネージャーで監視およびSNMPトラップを受信してみる」
- 第13回「コンテンツベースアラート。重要なログを見逃さない!」
- 第14回「設定変更履歴。コンプライアンスにも対応!」
- 第15回「トラブルシューティングに役立つ機能。問題を迅速に解決!」
- 第16回「ユーザーアクセス制御。アクセス権限とタイプを設定してみる!」
- 第17回「リライト機能。ログの整形や正規化!」
- 第18回「バックアップリストア。システムデータおよびログデータをバックアップ、リストアしてみる!」
- 第19回「アーカイブ/クリーンアップ。ログデータをアーカイブ、クリーンアップしてみる!」
- 第20(最終)回「SSBの有効活用および安定稼働のためのポイントを紹介!」
SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。
syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。
