Latest Posts

Zabbix構築編05:Zabbixで監視する装置を登録する方法 – 【連載】ZabbixとOpManagerから学ぶ!統合監視の世界

この記事の所要時間: 約 11分

こんにちは!
永年無料でも使えるManageEngineの統合監視ソフトウェア「OpManager」技術担当のゆらです!

やべえやべえ、そろそろブログ書かなきゃ><と久々にZabbixにログインしようと思ったら、ユーザー名もパスワードもすっかり忘れまして、ログインに失敗しました。(みんなあるあるだと信じます)
ユーザーのパスワード等はデフォルトのままでしたので、グーグル先生に聞きまして、なんとかログインすることができました。よかったー。
そしたらこんな画面が。

おお・・・・。OpManagerにもこんな機能あればいいのになぁ。

ということで、以下の順番でお話を進めていきます。
※Zabbixでは、監視対象として追加した装置のことを「ホスト」と呼びますので、わたしも今回はそれに倣って基本的には「ホスト」と呼びますのでよろしくお願いいたします!

目次:
[1] 監視対象ホストの選定
[2] 監視するにあたり、プロトコルはどうしよう?
[3] ホストの追加
– 一括で複数の装置を追加する方法


[1] 監視対象ホストの選定

まず、今回監視対象として登録できたらいいなーと思っているホストをご紹介します。
—————————–
サーバー
Windows Server 2012 R2
CentOS 6
ネットワーク機器
Cisco Catalyst 3560シリーズ スイッチ(シスコシステムズ)…

OpManager 2 min read

ちょっと余談01. SNMP, WMI, CLI、VMware APIの違いについて – 【連載】ZabbixとOpManagerから学ぶ!統合監視の世界

この記事の所要時間: 約 4分

お久しぶりです!あっ・・・・!という間に前回の投稿から二か月くらい経ってしまいました。
永年無料でも使えるManageEngineの統合監視ソフトウェア「OpManager」技術担当のゆらです。

今回は、「Zabbix、OpManagerで監視する装置の追加方法」を模索する前に、監視に使用される基本的なプロトコルについてご説明しようと思います。

まず、OpManagerがメインで監視に使用しているプロトコルは以下のとおりです。
SNMP、WMI、CLI、VMware API

今回は、この4つに絞って説明していこうと思います!
(※Zabbixは、Zabbixエージェントを利用してWMI等を利用した監視を行うみたいです。
LinuxサーバーはデフォルトではWMIに対応していないので、Zabbixエージェントで対応できるのが嬉しいですね。)

目次:
[1]  TCP, UDPって?通信の信頼性?
[2] 取得してる値って違うの?プロトコルが違うだけじゃないの?


[1] TCP, UDPって?通信の信頼性?

各プロトコルは、TCPかUDPというプロトコルで通信を行います。
TCPとUDPの違いは以下のとおりです。
(詳細は、ぐーぐる先生で検索してみるとたくさん教えてくれるので割愛しますね)

〇TCPを利用するプロトコルは:
・応答確認等を行うので、通信の信頼性が高い。
すべてのデータがきちんと届くことを確認します。キャッチボールします。
きちんとボールが返ってこなかったら、「返ってきてないよー!?」と伝えて、再度投げてもらいます。

〇UDPを利用するプロトコルは:
・応答確認を行わないので、通信の信頼性が低い。
監視対象装置から応答がなくても、確認しません。投げっぱなしにしておいて放置。
・でも、処理は簡単で遅延が少なくなります。

今回挙げている「監視に使用しているプロトコル」では、SNMPはUDP。
他はTCPです。
ZabbixエージェントもTCPだそうです。

参考URL)…

OpManager 1 min read

「低コスト/簡単運用」を追求した特権ID管理ソフト| Password Manager Proの実力/総コスト感は?

この記事の所要時間: 約 2分

アカウントやデータベースの管理、ネットワーク機器の設定変更等において高い権限を有する特権IDは、悪用されると甚大な被害につながります。サイバー攻撃が横行する昨今、このような脅威はあらゆる規模の企業/組織が実感しているのではないでしょうか。

しかし、これまでの特権ID管理ツールは、大手金融機関や重要システムを対象とした、高価運用負荷の高いものばかりでした。そのため、ツールによる特権ID管理をあきらめ、セキュリティレベルの低さを看過したり、紙台帳等での不十分な管理にとどめたりする企業も少なくありませんでした。

以下の資料では、このような課題を解決するために開発されたソフトウェア「Password Manager Pro(パスワード マネージャー プロ)」の概要についてご紹介しています。

選ばれる理由は「低コスト」- 特権ID管理ソフト Password Manager Pro製品概要資料

<目次>
■ Password Manager Proとは:導入実績とポジショニング
■ 低コストの理由:総コストの比較や実際の価格
■ 主要機能:申請/承認フロー、操作画面の録画、パスワードの自動変更…他
■ 説明/デモ依頼窓口:訪問やオンライン対応が可能なご相談窓口
■ 参考資料/各種お問い合わせ:関連資料や事例記事等、関連情報まとめ

 

【国内トップクラスの導入実績】

2014年から日本語版を提供し、近年は同分野において国内トップクラスの導入実績を達成しているPassword Manager Pro。…

Password Manager Pro , セキュリティ 1 min read

Password Manager Pro 9.4の新機能をご紹介!

この記事の所要時間: 約 2分

特権ID管理ソフト「ManageEngine Password Manager Pro」は、2017/12/25からビルド9.4を提供開始しました。

とは……

Password Manager Pro 1 min read

どこで差がついた?ここがヘルプデスク運用効率化の分かれ道!

この記事の所要時間: 約 4分

どこで差がついた?ここがヘルプデスク運用効率の分かれ道!

業務拡大によりますます少ない人数でヘルプデスクの運用を行うことになっていたA君とB君。効率化を検討したものの、いつしか大きな差が生まれてしまう…。今回は、効率的なヘルプデスク運用を目指しながらも、どこで差がつくのか、X社とY社の例を通して紹介しよう。

X社の情報システム部門 A

X社の情報システム部門 A君

新たにヘルプデスク用のツールを導入するのは覚えることも多いし、導入も大変そう。余裕もないし、環境を変えることなく、これまでと同じようにグループウェアや表計算ソフトで管理し続けるのが、結局は効率化につながるのでは?

 

Y社の情報システム部門 B

このままグループウェアや表計算ソフトで管理していては、いずれ限界がくるだろう。少ない人数で効率的に管理するには、低コストで導入しやすく、運用の一部を自動化できるしくみが不可欠…。更に将来的にはITILにも対応する必要もあるだろう。早急に対応ソフトを探さなければ。

異なる2つの道を選んだA君とB君。それぞれどのようなことになるのだろうか。

 

A君の場合

「色々とヘルプデスク運用を効率化するツールもあるようだけれど…導入するには時間もコストも余裕がなさそう。」

こう考えていたA君。例えば導入前にコンサルティングを受けるにしても、現状の課題の洗い出しやインシデントやサービス要求に関する問い合わせの要件をまとめたりするのは難しい。現行の業務と並行しながらツールを導入するのは困難と判断したのだ。

「それにツールを導入しても、自社に合わせてカスタマイズや細かい設定が必要なのでは。新たな操作を覚える必要もあるだろう。」

しかし、メールや電話で届くインシデント情報の管理や入力の手間は増える一方。更にデータベースソフトで作ったツールは、データの増加にともない処理速度が遅くなってきていて、管理やメンテナンス、データ集計にも時間が取られることが分かってきた…。

 

B君の場合

「ヘルプデスク導入のために、コンサルをお願いしたりする時間を取りにくい。自分の予定に合わせやすい無料の評価版を試してみよう!」

B君は導入にかかる時間や手間を減らすためにも、まずは無料評価版で試せるツールを検討。その中でもやはり、導入に負担がかからないのは、自社のヘルプデスク運用に合ったパッケージソフトということが分かった。

「パッケージソフトではカスタマイズはほとんど必要ない。設定も簡単な製品だと、管理側の負担もかなり減る。それに、入力しやすくて分かりやすい画面だと、実際の運用の際にも負担は軽減できそうだ。」

評価版を試す過程で、インシデント管理に関する要件も少しずつ整理していたB君。

低コストで導入しやすく、操作しやすいインターフェースを兼ね備えていることから、ゾーホージャパンの ManageEngine ServiceDesk Plus (マネージエンジン サービスデスクプラス:以下、 ServiceDesk Plus )を選ぶことに。 インシデント管理だけでなく、資産管理・CMDB・問題/変更管理機能も備えた拡張性もポイントだ。…

ITIL ITサービスマネジメント , ServiceDesk Plus , 一般 , 未分類 1 min read

【JPCERT/CC提唱】不審なタスク作成の調査

この記事の所要時間: 約 3分

攻撃者がコンピューターに侵入後、不正なプログラムを実行するために、タスクスケジューラを悪用するケースがあります。タスクスケジューラとは、WindowsOSにて標準搭載されている機能であり、決められた時間、あるいは一定の間隔にて、プログラムやスクリプトを実行することが可能な「タスク管理ツール」です。タスクスケジューラの脆弱性として、2014年9月に「CVE-2015-0098」が報告されており、この脆弱性を利用することで特別に細工されたアプリケーションの実行、および以下の操作を行うことが可能です。

・ プログラムをインストールする
・ データを表示、変更、削除する
・ 管理者権限をもつアカウントを作成する

上記のような不正な操作を検知するための手段として、不審なタスクが生成されていないことを、定期的にタスクスケジューラにて確認する方法があります。以下では、設定されているタスクの確認方法についてご案内します。

 

1.タスクスケジューラの確認方法

1) スタート > 管理ツール > タスクスケジューラ を開きます。

2) タスク スケジューラ ライブラリ をクリックします。

3) 現在設定されているタスクスケジューラの一覧を確認することが可能です。なお、タスク スケジューラ ライブラリから確認できる内容は下記の通りです。

・ 名前
・ 状態
・ トリガー
・ 次回の実行時刻
・ …

ADAudit Plus 1 min read

【JPCERT/CC提唱】特権をもつアカウントの使用を監視

この記事の所要時間: 約 3分

近年、高度サイバー攻撃による国内被害が増加しています。高度サイバー攻撃では、攻撃者は明確な目的をもっており、その目的を達成するため、プロセスを踏んで組織内ネットワークに侵入し、長期的な攻撃を繰り返します。

図1 高度サイバー攻撃のプロセス

 

攻撃者がコンピューターへ侵入後、自由にリソースへアクセスするため、まずはドメイン管理者やサーバー管理者権限のアカウント情報の入手を試みます。その方法の一つとして、ドメイン認証で使用されるKerberosに対する仕様上の脆弱性を利用する場合があり、その攻撃手法やツールはインターネットで公開されていることから、誰でも、比較的簡単にActive Directory環境への攻撃を行うことが可能です。なお、脆弱性(MS14-068)については、以下のブログ記事にてご紹介していますので、興味のある方は、ご一読いただければと思います。

「MS14-068」の脆弱性とは?JPCERT/CCが推奨するログの活用方法と併せてご紹介

 

1.特権をもつアカウントの使用を監視する方法

ドメイン管理者権限などの、特権が割り当てられているアカウントが使用された場合、イベントID 4672が記録されます。意図していないアカウントに対して、このイベントログが出力されていた場合、MS14-068の脆弱性が悪用され、攻撃者が不正に権限昇格をおこなったことが考えられるため、攻撃検知のための監査対象として有効です。

図2 イベントID4672のイベントログ

 

以下では、イベントID 4672を出力するための監査ポリシーの設定手順についてご案内します。

≪イベントログ出力のために必要な監査ポリシーの設定≫

コンピューターの構成 > Windowsの設定 > セキュリティの設定 > 監査ポリシーの詳細な構成 > 
監査ポリシー > ログオン/ログオフ > 特殊なログオンの監査 > [成功] にチェック
図3 監査ポリシーの設定

 …

ADAudit Plus 1 min read

Active Directoryのログオン認証を監査するには(後編)

この記事の所要時間: 約 1分

 

本投稿の前編では、イベントビューアーを使用したログオン認証の監査方法についてご案内しましたが、後編では、弊社製品ADAudit Plusを使用した場合の確認方法についてご紹介します。


イベントビューアーを使用したログオン認証イベントの確認方法

ADAudit Plusには、200以上の定義済みレポートがあると記載しましたが、ドメイン認証を使用したログオンに関するレポートとしては、以下の15つをご用意しています。


一覧からお分かりいただける通り、一言に「ログオンレポート」といっても様々な観点でのレポートがあり、ログオン失敗理由別、ドメインコントローラー別、ユーザー別と確認することが可能となっています。

各レポートからは、「いつ」「誰が」「どこから」ログオンしたのか、失敗の場合は「なぜ失敗したのか」という詳細な内容まで確認することができ、さらに、ADAudit Plus側でコンピューターアカウントによるログオンイベントは自動で除外するため、純粋にユーザーによるログオン認証イベントを確認することが可能です。

▼ ログオン監査機能を動画で紹介

イベントビューアーから確認する場合は、フィルターをかけたうえで、さらに一つ一つ目で見て判断を行う必要がありました。しかし、ADAudit Plusはそれらをすべて自動で行ってくれるため、システム管理者は複雑な作業の一切を行う必要がなく、ADAudit Plusにログインし、レポート名をクリックするだけで、監査を行うことが可能となるのです。

もし、ADAudit Plusという製品について、少しでもご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。評価期間中は、技術サポートもご利用可能です。

▶ ADAudit Plus ダウンロードページ

 

前編へ移動 >> Active Directoryのログオン認証を監査するには(前編)

ADAudit Plus 1 min read

Active Directoryのログオン認証を監査するには(前編)

この記事の所要時間: 約 3分

Windows 9x系のOSでは、ユーザー名とパスワードの入力が必須ではなく、Escキーを押すことで、省略してログオンすることができました。それは、Windows 9x系のOSが個人での利用を前提につくられており、本人以外が使用する可能性、およびそこへの配慮が重要視されていなかったためです。しかし、企業でのコンピューターの使用が一般的となっている現代では、複数の人が同じコンピューターを使用する場合もあれば、ネットワーク越しに不正にコンピューターへアクセスされ、社内の情報が奪取されるという場合もあります。このような状況において、誰もがコンピューターにログオンできるという状態はまず避けなければいけないことであり、安全な使用のためには、コンピューターへログオンするアカウントの管理、および不審なログオン認証が行われていないかの監査が必要とされています。

ワークグループ環境の場合、各コンピューターが独立して存在しているため、管理や監査が困難となります。例えば、運用ポリシーに則った適切なパスワードが設定されているか、パスワードが定期的に変更されているか、といったことを把握しようとした場合、システム管理者は一台一台の設定状況を確認する必要があります。そこで、ある程度のネットワークの規模が大きくなる場合は、Active Directory環境で管理することにより、効率的にユーザーの認証・管理を行うことができます。なお、Active Directoryの概要や必要性については、以下のブログ記事にてご案内しておりますので、興味のある方は、ご一読いただければと思います。

【 連載:ADについて学ぼう 】

では、Active Directory環境において、意図したアカウントによるログオンが行われているか、不審なログオン失敗の履歴が存在していないかということを確認するためには、どうすればよいでしょうか。本投稿の前編では、イベントビューアーを使用した確認方法について、ご案内していきたいと思います。


イベントビューアーを使用したログオン認証イベントの確認方法

 

Active Directory環境において、ユーザーがログオンすると、認証情報がドメインコントローラーに送られ、認証情報の検証を行います。そして、ドメインコントローラー側で認証データが正しいことが確認できた場合はチケットが発行され、今後クライアントは、このチケットを使用してリソースにアクセスすることができるようになります。ログオンの成功・失敗を決定する、この「事前認証」の結果は、以下のイベントIDにて、イベントビューアー上に出力されます。

4768

Kerberos 認証チケット (TGT) が要求されました。

4771

Kerberos 事前認証に失敗しました。

4772

Kerberos 認証チケット要求が失敗しました。

≪イベントログ出力のために必要な監査ポリシーの設定≫

[コンピューターの構成] > [Windowsの設定] > [セキュリティの設定] > 

ADAudit Plus 1 min read