Reading Time: 1 minutes
近年、多くの企業ではActive Directoryを導入しておりますが、それに伴いActive Direcoryのドメイン管理者アカウントが狙われるケースが増加しています。ドメイン管理者アカウントの認証情報を奪われた場合、機密情報の窃取やバックドアの作成などが簡単に出来てしまうため、企業側としては何としても避けたいことであり、その兆候はできる限り早く、気が付きたいものではないかと思います。
JPCERTコーディネーションセンター(以下、JPCERT/CC)では、ドメイン管理者アカウントの不正使用により、内部ネットワークに長期間に渡って潜伏し、情報窃取などが行われる攻撃を複数確認しており、注意喚起を行っています。JPCERT/CCが2017年7月に公開した資料「ログを活用したActive Directoryに対する攻撃の検知と対策」では、ドメイン管理者アカウントの悪用を検知する方法の一つとして、「認証回数の調査」(章4.3.3)が挙げられています。
確認事項 | イベント ID 4624,4625,4768, 4769, 4776の認証イベントについて、アカウント、認証要求端末ごとの認証回数の推移を、以下の観点で確認する。意図しない認証が確認された場合は、アカウントが侵害されている可能性がある。 ・ システム利用以外に繰り返し定常的に認証が行われていないか ・ 休日などアカウントが使用されていないはずの期間に認証が行わせていないか ・ 継続的に見て認証回数に急激な変化がないか ・ 認証失敗が多数発生していないか |
※ JPCERT/CC 『ログを活用したActive Direcoryに対する攻撃の検知と対策』より参照
ここで求められているのが、認証回数を継続的に見たときに、大きな変化がないかということです。そして、大きな変化に気が付くためには、常日頃から認証ログの生成数を把握しておくことが求められます。これをツールを使用しないで行う場合、イベントビューアーでフィルターをかけて確認し、集計するか、あるいはPowershellで必要な情報を定期的に抽出し集計する、といった方法が挙げられますが、それには以下のような問題が考えられます。
JPCERT/CCなどにより、ログの監査が積極的に求められるようになってきた昨今では、このように
「異常がないか監視したいが、毎日のログ監査のためにそこまで多くの時間をかける余裕がない・・」
という悩みをもつ企業様は、多くいらっしゃるのではないかと思います。そのような悩みをもつ方は、是非、弊社製品のADAudit Plusを検討いただければと思います。
ADAudit Plusは、Active Direcory監査に特化したツールであり、収集したイベントログを解析して200以上の定義済みレポートから参照することができるため、イベントログの知識がない方でも監査を行うことが可能です。また、本製品を使用することで、JPCERT/CCが提唱している内容の確認を「簡単」かつ「効率的」に行うことができるようになります。以下では、ADAudit Plusを使用した場合、認証回数の調査をどのように行うことができるのかを紹介したいと思います。
+‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥‥+
▼ ADAudit Plusを使用した場合の認証回数の調査方法とは?
JPCERT/CCが提唱する確認項目の中に、以下の2点が挙げられています。
・ 経時的に見て認証回数に急激な変化がないか
・ 認証失敗が多数発生していないか
これに対し、単純に認証の失敗回数を表示する場合は、定義済みレポートの「ログオン失敗(ユーザー別)」から確認することが可能です。このレポートでは、ユーザーごとの認証失敗回数を降順で表示します。
しかし、認証回数に急激な変化がないかを継続的に監査するためには、カスタムレポートを作成することで、以下のスクリーンショットのように、よりグラフィカルで分かりやすく、表示することが可能となります。
※クリックで拡大します
上記のようなカスタムレポートの作成方法について、簡単にご紹介させていただきます。
1.レポートの種類を選択
レポートの種類を選択します。今回は、変化を折れ線グラフで表示したいため、「表形式ビュー」あるいは「グラフ表示」を選択します。
2.レポートのカテゴリを選択
ベースとなるレポートを選択します。認証の回数に対する変化を確認する場合は、ログオン活動の「ログオン成功」「ログオン失敗」の両方を、認証失敗の回数に対する変化を確認する場合は、「ログオン失敗」のみにチェックを入れます。
3.表の種類を選択
表示する表の種類や、軸ラベルなどを選択します。今回は、ユーザーに対する認証失敗の回数を表示したいため、[グループ別(x軸)]で「ユーザー名」を選択します。
上記3つの設定により、任意の期間内におけるユーザーの認証失敗回数の変化をグラフで確認することが可能となります。また、カスタムレポートではフィルターの設定も可能ですので、Adminisratorなど管理者アカウントに対するデータのみを表示する場合も、簡単に設定を行うことができます。
このように、折れ線グラフで確認することで、回数の急激な変化を一目で確認することができます。
更にグラフをクリックすることで、該当するデータが下に表示され、どこから、どのような理由で認証失敗が発生しているかといった詳細を確認することが可能です。
また、JPCERT/CCが提唱する確認項目の中に、以下が挙げられています。
・休日などアカウントが使用されていないはずの期間に認証が行われていないか
こちらについても、あらかじめビジネス時間を設定しておくことで、グラフの上部にある[時間]から、簡単にビジネス時間外に発生したデータを抽出することが可能です。
このように、ADAudit Plusを使用することで、JPCERT/CCが提唱する認証回数の調査を、誰でも簡単に、かつ効率的に行うことが可能となります。
もし、少しでもADAudit Plusにご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。評価期間中は、技術サポートもご利用可能です。
≪ADAudit Plusのダウンロードページ≫
https://www.manageengine.jp/products/ADAudit_Plus/download.html
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。