Reading Time: 1 minutesADAudit Plusは、Microsoftが提供するディレクトリ サービスであるActive Directoryを監査するレポートツールです。本製品を使うことで、Windowsドメイン上で管理されているドメインコントローラー/メンバーサーバー/ファイルサーバーなどのリソース、そしてユーザーやグループ、グループ ポリシーなどのオブジェクト情報から、... >>続きを読む
アラート
SIEMという選択(後編) – SIEM製品を選択する基準とは?
Reading Time: 1 minutes記事の前編では、企業がSIEMを選択すべき理由について解説しました。後編となる今回は、SIEM製品を選定する際の基準についてご紹介します。 ■ SIEM製品の選定で重要となる「予算面」 SIEM製品を選定する際、予算というのは非常に重要な検討項目の一つです。SIEM製品によっては、処理するログ流量がライセンスの課金対象となっているものもあれば、監視対象となるデバイス数に基づき課金されるものもあります。デバイス数に基づく価格設定となっており、ログ流量には影響されない場合、生成されるログのボリュームの量にかかわらず金額が一定となるため、コストの見積もりが容易になります。 しかし、予算以外にも重要な事項はもちろん存在します。そのいくつかを、以下でご紹介したいと思います。... >>続きを読む
「MS14-068」の脆弱性とは?JPCERT/CCが推奨するログの活用方法と併せてご紹介
Reading Time: 1 minutes 本投稿では、「MS14-068」の脆弱性とはどのようなものなのかを解説後、MS14-068の脆弱性を悪用した攻撃検知のため、JPCERT/CCで監視が推奨されているイベントログをご紹介します。また、最後には、そのイベントログを見逃さないためのツールとして、弊社製品のEventLog Analyzerを使用した場合の監視の流れについて、簡単にご案内させていただきます。 1. 「MS14-068」とはどのような脆弱性なのか... >>続きを読む
AD監査の負荷をツールで大幅軽減!【4】 非ビジネス時間内に発生したイベントの監査
Reading Time: 1 minutesサイバー攻撃を受けている、あるいはすでに感染してしまったクライアントPCは、本来通信が発生しない時間帯にアクセスが頻発する可能性があります。そのため、常日頃から勤務時間外に発生するログを監査することは、攻撃の兆候にいち早く気が付くためにも、とても大切なことなのです。 では、業務時間外のログを監査は、具体的にどのように行えば良いのでしょうか。 例えば、イベントビューアーから[ユーザー設定の範囲]で業務時間外の範囲を指定し、表示するという方法があります。あるいは、もう少し効率的な方法として、任意の日時やイベントIDに一致するログを出力するためのバッチファイルをタスクスケジューラーに仕込んでおき、定期的にエクスポートするという方法もあります。 しかし、上記の方法では、業務時間外に生成されたログをただ表示することができても、そこから「監査を行う」となった場合、ログを一つ一つ確認していく必要があり、やはり骨の折れる作業となり得ます。そこで、ADAudit Plusを使用いただくことにより、そのような作業を「時間をかけず」「簡単に」行うことが可能となるのです。... >>続きを読む
AD監査の負荷をツールで大幅軽減!【6】 管理者権限を持つグループへのユーザ追加を監査
Reading Time: 1 minutes情報セキュリティの3要素として、OECDの情報セキュリティガイドラインでは、「機密性」「完全性」「可用性」の3つを定義しており、それらを総称して「CIA」と呼びます。このCIAは、ISO/IEC 27001でも重要視されており、セキュリティ対策を行う上で、バランスよく対策を施すことが求められます。一方で、様々な情報がデータ化される現代において、このCIAを脅かす攻撃も多様化しています。この脅威に対する代表的な考え方として、Microsoft社が提唱する「STRIDE」というものがあり、これは脅威に対する以下の6つの分類名の頭文字から成り立っています。 ・ Spoofing(なりすまし) ・... >>続きを読む
AD監査の負荷をツールで大幅軽減!【3】 リアルタイムのアラート通知
Reading Time: 1 minutes前回の記事(AD監査の負荷をツールで大幅軽減!【2】 リアルタイムのログ収集)の中で、ADAudit Plusのリアルタイム・アラート通知機能について触れましたが、今回はそのアラートをどのように設定するのか、アラートの設定方法についてご紹介したいと思います。 1.アラートプロファイルを定義する 多くのIT管理者からすると、変更や異常があった際に、即座に異常を検知する必要があります。ADAudit... >>続きを読む
EventLog Analyzerの検索機能
Reading Time: 1 minutesたとえ小規模のネットワーク環境であっても、日々膨大なログデータが出力されます。そのログの中には重要性の低いログが大量に出力されていた場合、ネットワークセキュリティにおいてクリティカルな情報を持つ、重要度の高いログを見過ごしてしまうかもしれません。 そのようなクリティカルなログを見過ごさないために、ログデータから効率的に検索することができるメカニズムが必要になります。 特定条件でログを検索するには、例えば以下のクエリを実行する方法があります: USERNAME=”John” AND... >>続きを読む
多数発生する監視のアラームを減らすには
Reading Time: 1 minutes本ブログでは、監視のアラームがたくさん発生しているときに、 サーバー・ネットワーク統合監視ツールOpManagerで アラームを減らすために使えそうな機能や使い方を紹介します。 ・設定を見直す 初期に多くのアラーム条件にチェックを入れていたりと... >>続きを読む
特権グループメンバーに対する変更を瞬時に検知する
Reading Time: 1 minutes正しいユーザーがグループの特権アカウントとして昇格されたのを確認した後は、特権アカウントを持たないユーザーが知らない間に特権アカウントになっていたということを防がなくてはいけません。 Windowsにバンドルしている管理ツール(mmc)、イベントビューアー、スケジュールタスクなどを使用しても、特権アカウントとして昇格されたグループを検出しアラートを送る手段はありません。 しかしADAudit Plusのアラート機能を使用することで、簡単にそのアラートを設定することが出来ます。追跡したいグループを定義するのがいかに簡単かということについては、図1をご覧ください。 図1 ADAudit... >>続きを読む