複数のコンピューターにログオンしたユーザーを知ることができますか？

何らかの理由によりユーザーは、既にログオンしている端末からログアウトすることなく、別のコンピュータにログオンを行ったりする場合がよくあります。
Microsoft Active Directoryは、この振舞いをOKとしており1つのユーザーアカウントが複数の端末へログオンすることを許可しています。
標的型攻撃の初期段階である潜伏に成功後情報収集を行なうために、1台のコンピューターへ侵入が成功すれば情報収集のために、ログオンに成功したアカウントを使って別のコンピューターへログオンし情報搾取を行います。こういった兆候を見逃さないようにするためには、複数のコンピューターへログオンしたユーザーが存在するということを把握することが重要となります。

ADAudit Plusは、この情報を表示するレポートを製品内で定義しており、最初の表示では、すべてのユーザーが過去24時間以内に複数のコンピュータにログオンしている情報を表示しますが、表示期間を変更することにより、その指定した期間においてユーザーが複数のコンピューターへログオンしていたという情報を表示することが可能です。
ADAudit Plusで、このレポートを表示するには、[レポート]をクリックし、[ユーザーログオンレポート] > “複数のコンピューターにログオンしたユーザー” をクリックすると、図1のように複数のコンピューターにログオンしたユーザーを一覧で確認できます。

図1. 複数のコンピューターにログオンしたユーザーレポート

このようなツールが無い場合は、複数のドメインコントローラーから大量の監査ログを収集し、その中からデーター分析を行いレポートを作成する必要がありますが、それには多くの時間と手間を必要とします。 問題が同時進行で発生しているようなケースでは、再度増分の監査ログを収集し分析する必要があり、問題特定および報告にはさらに多くの時間を費やしてしまう可能性があります。

※この記事は「ManageEngine Blog」に2016年06月09日に投稿された「Multiple computer logins for a single user」を翻訳・加筆したものです。

※本ページに掲載されている製品名、会社名などの固有名詞は各社の商標または登録商標です。®マーク、™マークは省略しています。

【翻訳・加筆】

ゾーホージャパン株式会社 宇都宮隆