「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
詳細 †
主なログ †
# | 種類 | 概要 |
1 | OS | UNIXシステムログ | ログイン、プロセスの開始・終了、コマンド実行 |
2 | Windowsイベントログ | ログイン、プロセスの開始・終了、システム変更、その他イベント |
3 | サーバ | WWWサーバ・アクセス・ログ | W3C 拡張、Microsoft IIS、NCSA 共通、ODBCなど |
4 | SMTPサーバ・ログ | メール配送履歴 |
5 | Proxyサーバ・ログ | サイトへのアクセス履歴 |
6 | DNSクエリ・ログ | DNSクエリ(名前解決要求)の履歴 |
7 | ディレクトリサーバ、認証サーバ・ログ | X.500、LDAP、その他認証基盤の 認証履歴(ログインの成功、失敗、権限昇格) |
8 | DBMSログ | アクセス履歴、操作(DDL、DML)の履歴 |
9 | セキュリティ製品 | F/W | パケットのACCEPT / REJECT / DROP、稼働状況の履歴 |
10 | IDP/IPS | 検知 / 遮断のアクセス履歴 |
11 | AV(Anti virus) | 検知の履歴 |
12 | EDR | 隔離(検疫)/ 駆除の履歴 |
13 | URLフィルタ | 検知 / 隔離(検疫)/ 駆除の履歴 |
14 | サンドボックス | 不審なプロセスやファイルの検知 / 遮断の履歴 |
ポイント †
適切なログ出力 †
適切なログ出力が必要。
- 不審な通信
- 内部から外部への不審なファイル送信
- マルウェアなどによる通信
ログの留意点 †
ログの管理運用における留意点
- ログの取得 / 保存 / 管理に関するポリシの設定
- ログを安全に保存できるシステムの構築
- 改ざん / 消去などの問題 → 保全の仕組み
- 容量の問題 → 十分な容量
- 必要な情報を記録するためのシステム面での工夫
- サーバー信頼モデルの際のDBMSへの接続ユーザ情報
- 接続元IPを記録するためProxyでのXFF(X-Forwarded-For)ヘッダの付与
(NATの外 → 内の通信では、送信元IPアドレスは変換されない)
- ログの定期的な分析
- システム:統合ログ管理システム、セキュリティ情報イベント管理(SIEM)
- 組織:SOC → エスカレーション → CSERT