はじめに
Logpoint は、次世代のSIEM(セキュリティ情報およびイベント管理)製品です。
サイバー攻撃や潜在的な問題を可視化し、インシデントの発生を未然に防ぐためにも、
さまざまなソースからの情報を収集する必要があります。
現在、企業で使用されるPCのOSは、Windowsが多数をしめており、ユーザー管理等を行う上でも、Windowsサーバーは多くの企業で導入されていることでしょう。
今回は、Windowsサーバーから情報収集を行う方法を簡単に説明します。
Logpoint Agent Collector
Logpointには、無償で利用できる Logpoint エージェントコレクターが含まれています。
Logpoint エージェントコレクターを使用することで、Windowsイベントログやフラットファイルの収集はもちろんのこと、ファイル整合性スキャナにより、ファイル/ディレクトリに加えられた変更の監視や、レジストリのスキャンも可能です。
エージェントの設定は Logpointによって集中管理されるため、手間もかからず、収集した情報は イベントIDなどで細かくフィルタリングすることも容易です。
Logpoint エージェントコレクターの主な機能
- イベントログの収集
- フラットファイルの取得
- ファイルの整合性チェック
- Windowsレジストリのスキャン
テスト環境
◆ Logpoint
- Logpoint エージェントコレクター を使用
- 正規化ポリシー、処理ポリシーを設定
- 対象のデバイスとして、Windows Server 2022 を設定
- 使用するコレクターは以下の通り
- Logpoint_Agent_Collector_5.2.6.pak
- Windows_5.4.9.pak
◆ Windows Server 2022
- Logpoint エージェント をインストール
- ローカル セキュリティ ポリシーでファイルアクセスとログオンの監視機能を有効に設定
- インストールするエージェントは以下の通り
- Logpoint_Agent_5.3.0.msi
Windowsサーバーからの情報収集 (Logpointでの対応)
イベントログの収集
Windows Eventlog Collectionを使用することで、Windowsサーバーからイベントログを収集できます。イベントログを収集、分析することで、Windowsデバイスの状態を把握することに役立ちます。
さっそく イベントログの収集を行ってみましょう。
ここでは、Windowsのログインでエラーを発生させてみます。
まずは、Logpoint エージェントコレクター の Windows Eventlog Collection を以下のように設定します。
[設定内容]
| 項目 | 設定値 | 説明 |
|---|---|---|
| Category | Security | 収集する Windowsイベントのカテゴリを指定 |
| Levels | Critical, Warning, Error, Information | 収集するイベントログのレベルを指定 |
| Event ID | (指定なし) | 特定のイベントIDを包含したり除外する場合は入力 |
| Resolve SID | 有効 | ログメッセージ内のキュリティIDの名前解決する場合は選択 |
設定ができたら、早速ためしてみましょう。
対象の Windowsサーバー で、ログイン時にパスワードを間違ってみます。
ログインに失敗しました。
Logpoint エージェントコレクターによって ログが収集されたかを確認してみます。
Logpointの検索画面で 次のクエリを使用します。
col_type = LPAgent and module_type = event_log and label=Login
これで、Windowsサーバーでのログイン失敗のイベントログが収集されていることが確認できました。
今回は、ログインエラーで試してみましたが、Windows Eventlog Collection の設定内容を変更することで、多くの Windows イベントログを収集することができます。
Windowsイベントは大量のログを出力する可能性がありますが、そのすべてが SIEM の監視と分析に関連しているわけではありません。 SIEM の効果を最大化するためにも、どのログを監視するかを計画することが重要です。
フラットファイルの取得
イベントログ以外にも、フラットファイルの情報を収集することも可能です。
アプリケーションのログファイル等を使用することで、独自のイベントが収集できます。
それでは、フラットファイルからのログ収集を行ってみましょう。
Logpoint エージェントコレクター の File Collection を以下のように設定します。
[設定内容]
| 項目 | 設定値 | 説明 |
|---|---|---|
| Name | WindowsFC | 任意の名前を入力 |
| Path | C:\Users\Administrator\Documents\LogPoint\FileCollection.log | 対象のファイルまたはディレクトリのパスを入力 |
| Poll Interval | 5 秒 | ファイルを取得するポーリング間隔を入力 |
| Save Position | 有効 | エージェントの停止時に、ファイルの位置を保存する場合は選択 |
| Recursive | 無効 | 指定したパス内で再帰的にファイルとディレクトリを検索する場合は選択 |
独自のログファイルを想定し、Windowsサーバーのファイル(C:\Users\Administrator\Documents\LogPoint\FileCollection.log)にログを書き込みます。
Logpointの検索画面で 次のクエリを使用し、ファイルからログが収集されたことを確認します。
col_type = LPAgent and module_type = file_collection
イベントログと同様に、フラットファイルからも ログが収集されることが確認できました。
ファイルの指定は追加することもできますので、複数ファイルからの収集も対応可能です。
ファイルの整合性チェック
ログファイルの収集以外の機能として、ファイルやディレクトリの監視を行うことができます。
指定したファイルやディレクトリをスキャンし、新規作成や変更、削除をチェックします。
予期しないファイルへのアクセスや、不正アクセスによる改ざん等を検知するのに役立ちます。
試しにディレクトリとファイルを監視してみましょう。
Logpoint エージェントコレクター の File Integrity Scanner を以下のように設定します。
[設定内容]
まずは、Windows Server の C:\Users\Administrator\Documents\LogPoint 配下に “Integrity”という名のディレクトリを作成し、その中に ファイル名 “FileCheck.txt” でファイルを作成します。
作成が終わったら、Logpointの検索画面で次のクエリを使用し、ファイル整合性チェックによって生成されたログを確認します。
col_type = LPAgent and module_type = file_scanner
ディレクトリの作成とファイルの作成が記録されていることが確認できました。
今度は、ファイル名を “FileCheck_Rename.txt” に変更してみましょう。
同じように、先ほどのクエリでログを検索すると、
ファイル名が変更されたログが確認できます。
ファイルの内容を編集した場合はどうでしょうか。
ファイルに ログを書き出してみます。
ログの検索結果は、
ファイルの編集が記録されています。
最後に、作成したディレクトリを削除してみましょう。
こちらも、ファイルとディレクトリが削除されたログが記録されました。
ここでは検証のため、これらのファイル操作は手動で行っていますが、実際に手動でファイルを操作することはあまりないでしょう。
人の目が届かない分、不正なファイル操作は発見が遅れがちです。被害が拡大する前に検知することが大切です。
レジストリのスキャン
ファイルやディレクトリの監視だけでなく、レジストリの監視も可能です。
Windowsレジストリをスキャンし、レジストリの変更または削除をチェックします。
通常とは異なるレジストリの変更等、システム異常を検知します。
レジストリの監視も試してみます。
Logpoint エージェントコレクター の File Integrity Scanner を以下のように設定します。
[設定内容]
| 項目 | 設定値 | 説明 |
|---|---|---|
| Name | WindowsRS | 任意の名前を入力 |
| Include Reg Value | HKLM\SOFTWARE\* | スキャンするターゲットWindowsレジストリのパスを入力 |
| Exclude Reg Value | (指定なし) | スキャンを除外する Windowsレジストリのパスを入力 |
| Schedule | 300秒 間隔 | 実行するスケジュールを選択するか、実行間隔を入力 |
| Recursive | 有効 | 指定したパス内を再帰的にスキャンる場合は選択 |
| 32-Bit System | 無効 | 32ビット Windowsデバイスのレジストリをスキャンする場合は選択 |
始めに、監視対象の \HKEY_LOCAL_MACHINE\SOFTWARE に、サブキー(LogPointTest)と エントリ(LPtest)を作成しておきます。
作成できたら、次はエントリの値を変更してみましょう。
変更が終わったら、Logppointの検索画面で 次のクエリを使用し、レジストリスキャンのログを確認します。
col_type = LPAgent and module_type = registry_scanner
レジストリが変更されたログが確認できます。
今度はエントリの値ではなく、作成したサブキーを変更してみます。
ログの検索結果は、
変更前のキーでのエントリが削除されたものとして記録されています。
少しわかりにくいですが、これは、変更前のキーでのエントリがなくなり、変更後のキーでエントリが追加されたように扱われるためです。
最後に、作成したサブキーごと削除します。
変更後のサブキーについても、エントリの削除ログが記録されました。
不正アクセスで使用されるプログラムは、永続化や潜伏といった目的のため、レジストリを改変することがあります。
不正の早期発見のためにも、レジストリの監視は有効です。
まとめ
本記事では、Windowsサーバーからの情報収集方法について紹介しました。
Logpointには、初めからエージェントコレクターが用意されており、Windowsへエージェントを導入するだけで簡単に情報取得が可能です。
ぜひ、導入を検討してみてください。
今回は簡素な方法で確認しましたが、実際の利用状況にあわせた細かな設定も行えます。
詳細は公式ドキュメントLogpoint Agent Collectorを参照してください。
by ka
Logpointの長所・製品情報
- Logpoint は、Windowsのイベントログなどを正規化する時に、自動的にログを分類して標準化したラベル(fileやwriteなど)を付加します。そのため、label=file、label=write、label=login のようにラベルを使用してログを検索することができます。また、項目名もuserやfileのように標準化されており、フォーマットが異なるデバイスなどのログを相関分析することができるようになっています。Logpoint ではこれをシングル タクソノミーと呼んでいます。
- Logpoint は、ログの種類に応じた正規化の定義を数多く装備しており、インストール後すぐに異常検知や分析をすることができます。
- 新しい形式のログをサポートするには、そのログ形式用のプラグインをインストールすることにより容易に対応できます。このプラグインはメーカーに作成を依頼できますし、お客様自身で容易に作成することもできます。
製品一覧からLogpointを選択してください
Logpointをインストール後に評価ライセンスをリクエストしてください
