![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>SC:対策技術]] *目次 [#tcfca925] #contents *概要 [#gc3001ce] -検知・追跡に該当。 -以下で利用できる。 --インシデントの現状調査や原因究明 --[[責任追跡性、否認防止>SC:基礎#ta2bca33]] → [[デジタル・フォレンジック>高度午前 - 技術要素 - セキュリティ#q93872b0]] *詳細 [#q389b974] **主なログ [#q7a5b130] |#|>|種類|概要|h |1|OS|UNIXシステムログ|ログイン、プロセスの開始・終了、コマンド実行| |2|~|Windowsイベントログ|ログイン、プロセスの開始・終了、システム変更、その他イベント| |3|サーバ|WWWサーバ・アクセス・ログ|W3C 拡張、Microsoft IIS、NCSA 共通、ODBCなど| |4|~|SMTPサーバ・ログ|メール配送履歴| |5|~|Proxyサーバ・ログ|サイトへのアクセス履歴| |6|~|DNSクエリ・ログ|DNSクエリ(名前解決要求)の履歴| |7|~|ディレクトリサーバ、認証サーバ・ログ|X.500、LDAP、その他認証基盤の&br;認証履歴(ログインの成功、失敗、権限昇格)| |8|~|DBMSログ|アクセス履歴、操作(DDL、DML)の履歴| |9|セキュリティ製品|[[F/W>SC:対策技術 - 防御・侵入検知#u4a95bac]]|パケットのACCEPT / REJECT / DROP、稼働状況の履歴| |10|~|[[IDP>SC:対策技術 - 防御・侵入検知#f6597824]]/[[IPS>SC:対策技術 - 防御・侵入検知#z4d70a5e]]|検知 / 遮断のアクセス履歴| |11|~|[[AV(Anti virus)>SC:脅威#z511f41c]]|検知の履歴| |12|~|[[EDR>SC:脅威#ba5aa3df]]|隔離(検疫)/ 駆除の履歴| |13|~|URLフィルタ|検知 / 隔離(検疫)/ 駆除の履歴| |14|~|[[サンドボックス>SC:対策技術 - 防御・侵入検知#yc7360b1]]|不審なプロセスやファイルの検知 / 遮断の履歴| **ポイント [#naf7066e] ***適切なログ出力 [#y3e38e5b] 適切なログ出力が必要。 -不審な通信 --内部から外部への不審なファイル送信 --マルウェアなどによる通信 -一定時間で繰り返される --ログイン --権限取得 --設定変更 ***ログの留意点 [#k7b0e6b8] ログの管理運用における留意点 -ログの取得 / 保存 / 管理に関するポリシの設定 --保存期間 --管理方法 --機器への反映 -ログを安全に保存できるシステムの構築 --改ざん / 消去などの問題 → 保全の仕組み --容量の問題 → 十分な容量 -必要な情報を記録するためのシステム面での工夫 --[[サーバー信頼モデル>https://techinfoofmicrosofttech.osscons.jp/index.php?%E3%82%B5%E3%83%BC%E3%83%90%E4%BF%A1%E9%A0%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%20%E3%83%A2%E3%83%87%E3%83%AB]]の際のDBMSへの接続ユーザ情報 --接続元IPを記録するためProxyでのXFF(X-Forwarded-For)ヘッダの付与 --接続元IPを記録するためProxyでのXFF(X-Forwarded-For)ヘッダの付与~ (NATの外 → 内の通信では、送信元IPアドレスは変換されない) -ログ運用 / 管理要員の確保と手順書の整備 --要員の確保 --手順書の整備 --そして、教育と訓練 -ログの定期的な分析 --システム:統合ログ管理システム、セキュリティ情報イベント管理(SIEM) --組織:[[SOC>SC:マネジメント#c5a8aa84]] → エスカレーション → CSERT
