AD監査の負荷をツールで大幅軽減！【4】 非ビジネス時間内に発生したイベントの監査

サイバー攻撃を受けている、あるいはすでに感染してしまったクライアントPCは、本来通信が発生しない時間帯にアクセスが頻発する可能性があります。そのため、常日頃から勤務時間外に発生するログを監査することは、攻撃の兆候にいち早く気が付くためにも、とても大切なことなのです。

では、業務時間外のログを監査は、具体的にどのように行えば良いのでしょうか。

例えば、イベントビューアーから[ユーザー設定の範囲]で業務時間外の範囲を指定し、表示するという方法があります。あるいは、もう少し効率的な方法として、任意の日時やイベントIDに一致するログを出力するためのバッチファイルをタスクスケジューラーに仕込んでおき、定期的にエクスポートするという方法もあります。

しかし、上記の方法では、業務時間外に生成されたログをただ表示することができても、そこから「監査を行う」となった場合、ログを一つ一つ確認していく必要があり、やはり骨の折れる作業となり得ます。そこで、ADAudit Plusを使用いただくことにより、そのような作業を「時間をかけず」「簡単に」行うことが可能となるのです。

以下では、ADAudit Plusを使用した場合、どのようにして業務時間のログを監査することができるのか、ご紹介していきたいと思います。

1．ビジネス時間の設定

業務時間外(ADAudit Plusでは「非ビジネス時間」と表記)で発生したイベントログを抽出するためには、まず、ビジネス時間を設定する必要があります。ビジネス時間は、[管理]タブの[ビジネス時間]から設定することが可能で、ビジネス時間の「開始時間」・「終了時間」と「曜日」を指定することができます。

図1　ビジネス時間の設定画面

2．非ビジネス時間内に発生したイベントログを表示

ADAudit Plusでは、用意されている200以上の定義済みレポートの全てに対して、表示オプションとして[期間]と[時間]を指定することができます。この[時間]のオプションにて、「非ビジネス」を選択することにより、ビジネス時間として設定した時間以外に生成されたイベントを表示することが可能です。

図2　非ビジネス時間内のレポート表示画面

3．非ビジネス時間内に発生したイベントを通知

ADAudit Plusのアラート機能を使用することにより、非ビジネス時間にイベントが生成されたとき、メールによるリアルタイム通知を行うことができます。本機能を使用することで、管理者はPCに対する怪しい動きを、いち早く察知することが可能となるのです。

例として、下記条件に一致するイベントに対して、アラートを設定する場合の手順をご紹介します。

条件：

• 非ビジネス時間内に発生
• 1分間にログオン失敗イベントが10件以上発生

設定手順：

1. [アラート]タブに移動します
2. [新規アラートプロファイル]をクリックします
3. 項目[カテゴリ]に[ログオン失敗]を指定します
4. [高度な設定]にチェックを入れます
5. [しきい値ベースのアラート]にチェックを入れます
次のように指定します：イベント数 <10> /発生 within <1> 分
6. [ビジネス時間のアラート]にチェックを入れます
7. [非ビジネス時間]にチェックを入れます
8. [メール通知]にチェックを入れます
9. メールアドレスを指定します
10. 保存します

図3　非ビジネス時間内に発生したイベントへのアラート設定画面

以上の手順により、非ビジネス時間内に生成されたイベントログをトリガーとして、アラート通知を行うことが可能となります。

もし、少しでもADAudit Plusにご興味を持っていただけましたら、「30日間の無料トライアル（評価版）」を是非お試しください。評価期間中は、技術サポートもご利用可能です。

※本記事にて掲載しているスクリーンショットは、ADAudit Plusビルド5021に基づいています。

製品ホームページ  >> Active Directoryログ監査レポート・ログ管理ツール | ADAudit Plus
ADAudit Plus無料評価版のダウンロードはこちらから >> ADAudit Plus 評価版ダウンロード

( → 次のページへ移動 )

☆☆導入から設定までを解説したスタートアップガイドはこちら
☆☆☆ADAudit Plusの概要を紹介した資料はこちら