不正アクセスされていない?認証エラーログを可視化(平常時の確認) ~ syslog-ng Store Box (SSB)でリモートアクセスログを調査(その12)~

本連載記事では、リモートアクセスログを、さまざまなsyslog-ng Store Box (SSB)の機能を使用して調査してみます。
(リモートアクセスのセキュリティ対策については、こちらをご参照ください。)

はじめに

IPAから「情報セキュリティ10大脅威 2023」が発表されました。組織の脅威として「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクイン(5位)[1]しています。ランキングは前年度より1つ下がったものの、脅威としては依然として注意が必要ではないでしょうか?

また、総務省が公開している「テレワークセキュリティガイドライン(第5版)」には対策の一つとして以下[2]があげられています。

管理者J-9 発展対策
管理者権限の使用状況や、重要情報へのアクセス履歴については、平時から定期的にログの確認を実施する。

<ログの確認>
○ログの効率的な確認のためには、攻撃者の探索活動を検知するため、アクセスログのうち拒否ログや、管理者権限等の特権IDに対するログイン失敗の履歴を定期的に確認することが効果的です。【管理者J-9】

リモートアクセスの認証エラーログで例えると、平常時の認証エラーログの履歴(パターンなど)を平時から確認し、平常時と異なる履歴(パターンなど)の場合、攻撃を受けている可能性があるとして、セキュリティ調査の判断基準となるのではないでしょうか。

過去記事「「不正アクセスされていない?認証エラーの確認はしなくて大丈夫?」syslog-ng Store Box (SSB)でリモートアクセスログを調査(その8)」で認証エラーログのみ閲覧・検索できるようにしましたが、ログの履歴(パターン)を可視化して定期的に通知し、確認できないでしょうか?

今回は、SSBの”カスタムレポート”機能を使って認証エラーログを可視化して、定期的に管理者に通知してみます。

[1]「情報セキュリティ10大脅威 2023」より
[2]「テレワークセキュリティガイドライン(第5版)」「10.インシデント対応・ログ管理」の”J-9″より

カスタム統計情報レポート設定

それでは、カスタムレポートを設定してみます。

以前の記事で、認証エラーログのみを保存(ログスペース名`failed`)しました、検索ページでこのログスペースを選択します。

図1. ログスペース閲覧

`.sdata.kv.xauthuser`フィールド(カラム)には、ユーザー名が出力されています。このフィールド()のをクリックします。

※`.sdata.kv.xauthuser`フィールド(カラム)の出力方法については、過去記事「syslog-ng Store Box大活用連載企画第5回「Ciscoスイッチ、FortigateファイアウォールログをSSBで受信!よりログを検索しやすく」」を参照してください。

ログの統計情報が表示されます。ここでは、ユーザー毎の認証エラーがカウントされています。

図2. 統計情報表示

カスタムレポートを設定するには、`Report settings`をクリックします。

図3. 統計情報表示(その2)

[Report settings]セクションが展開されるので、作成するカスタム統計情報レポートに関する設定を行います。

  • [Report subchapter name]フィールドにカスタム統計情報レポートの名前(サブチャプター名)を入力します。
  • [Visualization]でレポートの表示方法([List](リスト形式)、[Pie chart](円グラフ)または[Bar chart](棒グラフ))およびソート方法([Top](降順)または[Least](昇順))を選択します。
  • [Number of entries]にレポートに出力する要素の数を選択します([List]選択時のみ)。
  • [Grant access for the following user groups]フィールドにサブチャプターにアクセスできるユーザーグループを選択します。

をクリックして、設定を保存します。

ここでは、各チャートごとに以下の名前(Report subchapter name)で保存しました。

  • List: failed_user_list
  • Pie chart: failed_user_pie
  • Bar chart: failed_user_bar

カスタムレポート作成

作成したカスタム統計情報レポートを、レポートとして生成し、送信するには[Reports]>[Configuration]でカスタムレポートを作成(あるいは既存のレポートに追加)します。

ここでは、新規にカスタムレポートを作成します。[Reports]>[Configuration]に移動し、+ボタンをクリックし、以下のように設定し保存しました。

図4. カスタムレポート設定例

[Add Subchapter]をクリックすると、利用可能なレポートのリストがポップアップ表示されます。

図5. Add Subchapter例

カスタム統計情報レポート内容

カスタムレポート設定後、SSBは定期的(デフォルトで”Day”(毎日)、”Week”(毎週)、”Month”(毎月))にレポートを設定したメールアドレスへ送信します。

以下は、カスタムレポートのメール受信例です。レポート(PDFファイル)が添付で管理者に送信されます。

図6. レポートメール送信例

レポートには、上述で設定したリスト、円グラフおよび棒グラフが出力されています。

図7. リスト例
図8. 円グラフ例
図9. 棒グラフ例

平常時から、これらのレポートを確認することで異常時(リストのカウントが増大した、棒グラフが伸長したなど)と比較できます。平常時と比較しリストのカウントが増えてたりしていた場合、ブルートフォース攻撃やリバースブルートフォース攻撃の可能性があり、セキュリティ調査を行う必要があるかもしれません。

SSBの機能

本記事で使用したSSBの機能は以下の通りです。

  • カスタム統計情報レポート
  • レポート

参考資料

カスタム統計情報レポートおよびカスタムレポートの作成の詳細については、syslog-ng Store Box 7 LTS管理者ガイドの「12.3 ログデータからカスタム統計情報の作成」および「13.7 レポート」を参照してください。

また、レポートについては、過去記事「syslog-ng Store Box (SSB)でリモートアクセスログを調査(その6)「サービス残業させていない?レポートを日ごと、週ごと、月ごとに定期的に送信!」」、「syslog-ng Store Box(SSB) レポート機能の紹介!」でも紹介していますので合わせてご参照してください。

いかがでしたでしょうか。今回は、”カスタムレポート”機能を使って認証エラーログを可視化し、レポートとして通知し平常的に確認する方法について紹介しました。

それでは、次回の連載記事をお楽しみに!

これまでの「リモートアクセスログを調査」連載記事

「syslog-ng Store Box大活用連載企画」連載記事リスト



SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。

syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 「リモートデスクトップの操作が遅い!」の原因を高速特定!ntopngによる輻輳原因の究明アプローチを実例でご紹介

  2. フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと

  3. 「疑わしい」Windowsイベントログを抽出して、イベントログを活用する

製品カテゴリー

JTC IT用語集
TOP