ログ

第12回 Azure ADのアクセスログ管理【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ 「誰が」「いつ」「どのクラウドサービス」にアクセスしたのかを監査するためのアクセスログの参照方法 Azure ADとクラウドサービスを関連付けて、ユーザーにAzure ADを経由してアクセスさせれば、誰が、いつ、どのクラウドサービスにアクセスしたか?をAzure ADでまとめて参照できるようになります。このようなログは不正アクセスの検出に役立つだけでなく、様々な法令に基づいて証跡を保持しなければならないようなケースにおいても有効です。今回は、Azure ADのログの参照方法や保持方法について解説します。 Azure ADでは、管理作業のログとユーザーによるアクセスログを別々に記録し、それぞれAzure管理ポータルの[Azure Active Directory]より確認できます。管理作業のログはAzure管理ポータルの[Azure Active Directory]-[監査ログ]、アクセスログは[Azure Active Directory]-[サインイン]よりそれぞれ参照します。 [監査ログ]では、管理作業のジャンルやその操作の結果(成功・失敗)、対象となるユーザーなどを選択し、フィルターできます。例えば、別のAzure ADディレクトリに作られたユーザーをゲストユーザーとして登録したユーザーに対する操作であれば、「Invited Users」というサービス名を選択すれば、該当のログだけが表示されます。特定のログはクリックすると、その詳細を参照でき、日付、アクティビティの種類(どのような操作を行ったか)、状態(成功・失敗)などを確認できます。万が一、不正アクセスが疑われるような事象があった場合、監査ログを参照することで、その事象の確認ができるようになります。ちなみに、下の画面ではゲストユーザーを削除したことを表しています。 一方、[サインイン]ログではAzure...

ADAudit Plus , クラウドサービス , セキュリティ , 一般 1 min read

セキュリティ監査のためのグループポリシーの設定【連載:ADについて学ぼう~基礎編(9)~】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 【目次】 連載:ADについて学ぼう 今回はActive Directoryの設定の中で最も基本的かつ重要な設定である「監査ポリシー」についてご紹介します。 この記事でわかること! 監査ポリシーを確認、設定する方法 監査ポリシー設定後によくある課題「集計地獄」 監査ログを簡単に可視化できるツール   標的型攻撃といった高度な攻撃手法が横行する現代において、攻撃の兆候をいち早く察知し、攻撃を阻止することが求められています。そのための手段の一つとして、Windowsに標準搭載されているイベントビューアーの確認が挙げられます。 イベントビューアーはコントロールパネルの「管理ツール」から、あるいはコマンドプロンプトから”eventvwr“と実行して起動しますこのイベントビューアーに残されているログの中でも「セキュリティログ」と呼ばれるログをこまめに確認することが大切になります。 セキュリティログにはユーザーのログオンログオフの記録やオブジェクトに対するアクセス履歴などが記録されるのですが、すべてのログが最初から記録されているというわけではありません。管理者がどのログを記録するのかを、予め設定する必要があるのです。(すべてを記録するよう設定してしまうと、大量のログが出力されサイズが大きくなるのはもちろん、重要なログを見落としてしまう可能性が高くなります。) そしてどのログを記録するのかを決定するのが、今回ご紹介する「監査ポリシー」なのです! 監査ポリシーを確認、設定する方法 監査ポリシーを設定するには、グループポリシー管理エディターを開き設定を行いたいGPOを右クリックして「編集」を実行後、以下のように移動してください。 「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」- 「ローカル ポリシー」-「監査ポリシー」 ※グループポリシー管理エディターを開くにはコマンドプロンプトから以下のコマンドを実行してください。 ≪ドメインコントローラーの場合≫ gpmc.msc ≪メンバーサーバーの場合≫ gpedit.msc 監査ポリシーには以下の9つの項目があります: 例えばログオンイベントに関するログを記録したい場合、「アカウント ログオン...

ADAudit Plus 1 min read

Firewall Analzyerでファイアウォール等の機器のログを確認する

Reading Time: 1 minutesこの記事の所要時間: 約 1分 本ブログでは、ファイアウォール・プロキシ ログ管理ソフトFirewall Analzyerでファイアウォールのログを確認する方法について紹介します。 ・[検索]メニューでログを確認する Firewall Analyzerでは取得したログをデータベースに保管します。取得したログは、[検索]メニューから確認できます。 まずデバイスを選択します。 次に検索タイプを選択します。「収集済みログデータベース」「Firewallの生ログ」「プロキシの生ログ」「不明なプロトコル」の4種類から選択できます。 なお、上記のとおり、Firewall/プロキシの生ログを選択することもできます。 「Firewallの生ログ」では、上のイメージのとおり、次の項目のチェックの有無を設定することにより、検索の詳細を指定できます。 ・VPNの生ログ ・ウイルス/攻撃の生ログ ・トラフィックログ ・デバイス管理の生ログ ・拒否の生ログ 検索条件に複数の条件を設定することもできます。これにより、より高い精度で検索できます。 条件としては、プロトコル、送信元、宛先、ユーザーなどを設定できます。 例えば、検索条件にプロトコルとして”ssh”を設定して検索した場合、検索結果は次のように表示されます。 (参考)[検索]メニューの詳細については次のURLをご参照ください。 https://www.manageengine.jp/products/Firewall_Analyzer/help/working-with/search-tab.html ・検索内容をレポートとして利用する 検索を行った後の画面で、検索結果をレポートプロファイルとして保存できます。...

Firewall Analyzer 1 min read

Firewall Analzyerでファイアウォール等の機器のログを取得する

Reading Time: 1 minutesこの記事の所要時間: 約 1分 本ブログでは、ファイアウォール・プロキシ ログ管理ソフトFirewall Analzyerがファイアウォール等の機器のログを取得する方法について紹介します。 Firewall Analyzerでは次の2通りの方法でログを取得します。 1. 機器からFirewall AnalyzerへSyslogを送る  (Firewall AnalyzerがバンドルしているSyslogサーバーへログを送信する) 2. Firewall AnalyzerがログをFTPで定期的に取得する それぞれの方法について以下のとおり紹介します。 1. 機器からFirewall AnalyzerへSyslogを送る Syslogでログを送信できる機器については、機器からFirewall AnalyzerのSyslogサーバーへログを送ります。これにより、Firewall AnalyzerはデバイスのIPなどを自動的に認識して、ログ解析を行い、レポートを作成します。 次のスクリーンショットはFirewall AnalyzerでSyslogサーバーを設定する画面のイメージです。...

Firewall Analyzer 1 min read

EventLog Analyzerで取得したログをファイルにアーカイブする

Reading Time: 1 minutesこの記事の所要時間: 約 1分 本ブログでは、Windowsイベントログ・Syslog対応ログ管理ソフトEventLog Analyzerでのアーカイブ設定について紹介します。 EventLog Analyzerには、機器から収集したログ情報をファイルにアーカイブして保管する機能があります。非圧縮ファイルへのアーカイブ、圧縮ファイル(zip)へのアーカイブに対応しています。 画面でのアーカイブの設定方法は次のとおりです。 1. [設定]メニューに移動 2. [アーカイブファイル]をクリック 3. [設定]をクリック 4. アーカイブ設定の画面が表示されます 「ファイル作成間隔」で指定した時間ごとに非圧縮ファイルへアーカイブされ、「Zipファイル作成間隔」で設定した時間ごとに圧縮ファイル(zip)でアーカイブされます。データの暗号化、タイムスタンプの有無、ログ保持期間、保存場所を設定可能です。 5. 設定して保存 アーカイブ後、アーカイブ済みファイルを次のように利用していただけます。 ・アーカイブ済みファイルを製品にインポートしてログを確認 ・アーカイブ済みファイルの検索 アーカイブの詳細をさらに知りたい方は次のページをご参照ください。 https://www.manageengine.jp/products/EventLog_Analyzer/eventlog-archiving.html https://www.manageengine.jp/products/EventLog_Analyzer/help/EventLogAnalyzer_UserGuide/configurations/archive-logs.html...

EventLog Analyzer 1 min read

Firewall Analyzer 一問一答

Reading Time: 1 minutesこの記事の所要時間: 約 2分 こんにちは ファイウォールといえば、企業の大切なデータをインターネットや他のネットワークから防ぐ絶対に必要なネットワーク機器であることは、皆様よくご存じだと思います。 ゾーホージャパン株式会社では、そのファイアウォールを通過する通信のログを解析し、視覚的に分かり易いレポートを表示するManageEngine Firewall Analyzerという製品を自社開発し販売しております。 今回はそのFirewall Analyzerについて一問一答形式でご紹介します。 Q:Firewall Analyzerは何ができるのでしょうか? A:Firewall AnalyzerはFirewallのトラフィックログを解析し視覚的に分かり易く表示するレポーティングソフトウェアです。 Q:どのようなFirewallのログが解析できるのでしょうか? A:Cisco ASA、Fortigate、Juniper、Checkpointなど主要ベンダのトラフィックログが解析できます。 詳しくは、こちらをご覧ください。 Q:トラフィックログってなんでしょうか? A:Firewallが生成するログは、Firewallを通過または拒否した際の通信情報が含まれています。 一方Firewall機器内部の異常や状態を表すログについてはイベントログと呼んでいます。 Q:イベントログの解析もできるのですか? A:Firewall Analyzerはトラフィックログに特化した製品でございます。 イベントログの解析については、弊社別製品...

Firewall Analyzer 1 min read

Firewall Analyzer Cisco ASA v8.2のNetFlowログをサポート

Reading Time: 1 minutesこの記事の所要時間: 約 0分 こんにちは Firewall Analyzerは、Cisco ASA v8.2のNetFlowログをサポートしたことをお知らせします。本機能につきましては、30日間 無料のFirewall Analyzer評価版にてご評価いただけますので、ぜひダウンロードしてご評価ください。 ダウンロードはこちら 。 前提条件: ・Cisco ASA OSバージョン 8.2 ・Firewall Analyzer v.6(build 6000) Note:バージョンを確認するには、ログイン後画面上部の”製品について”よりビルド番号にて確認できます。Firewall Analyzerのバージョンがbuild6000以下の場合は、アップグレードを行ってください。アップグレードパックについては、保守ユーザの方へ保守メールで通知済みです。 なお、このブログは、米国本社(ZOHO Corporation)のManageEngine Blogs  を翻訳・加筆したものです。 元の記事(2010年1月6日投稿)はこちら (翻訳: ゾーホージャパン...

Firewall Analyzer 1 min read