.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

以下で利用できる。

  • インシデントの現状調査や原因究明

詳細

主なログ

#種類概要
1OSUNIXシステムログログイン、プロセスの開始・終了、コマンド実行
2Windowsイベントログログイン、プロセスの開始・終了、システム変更、その他イベント
3サーバWWWサーバ・アクセス・ログW3C 拡張、Microsoft IIS、NCSA 共通、ODBCなど
4SMTPサーバ・ログメール配送履歴
5Proxyサーバ・ログサイトへのアクセス履歴
6DNSクエリ・ログDNSクエリ(名前解決要求)の履歴
7ディレクトリサーバ、認証サーバ・ログX.500、LDAP、その他認証基盤の
認証履歴(ログインの成功、失敗、権限昇格)
8DBMSログアクセス履歴、操作(DDL、DML)の履歴
9セキュリティ製品F/WパケットのACCEPT / REJECT / DROP、稼働状況の履歴
10IDP/IPS検知 / 遮断のアクセス履歴
11AV(Anti virus)検知の履歴
12EDR隔離(検疫)/ 駆除の履歴
13URLフィルタ検知 / 隔離(検疫)/ 駆除の履歴
14サンドボックス不審なプロセスやファイルの検知 / 遮断の履歴

ポイント

適切なログ出力

適切なログ出力が必要。

  • 不審な通信
    • 内部から外部への不審なファイル送信
    • マルウェアなどによる通信
  • 一定時間で繰り返される
    • ログイン
    • 権限取得
    • 設定変更

ログの留意点

ログの管理運用における留意点

  • ログの取得 / 保存 / 管理に関するポリシの設定
    • 保存期間
    • 管理方法
    • 機器への反映
  • ログを安全に保存できるシステムの構築
    • 改竄 / 消去などの問題 → 保全の仕組み
    • 容量の問題 → 十分な容量
  • 必要な情報を記録するためのシステム面での工夫
    • サーバー信頼モデルの際のDBMSへの接続ユーザ情報
    • 接続元IPを記録するためProxyでのXFF(X-Forwarded-For)ヘッダの付与
  • ログ運用 / 管理要員の確保と手順書の整備
    • 要員の確保
    • 手順書の整備
    • そして、教育と訓練
  • ログの定期的な分析
    • システム:統合ログ管理システム、セキュリティ情報イベント管理(SIEM)
    • 組織:SOC → エスカレーション → CSERT

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-11-02 (土) 20:29:46 (9d)