SC:対策技術 - ログの分析・管理
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>SC:対策技術]]
*目次 [#tcfca925]
#contents
*概要 [#gc3001ce]
-検知・追跡に該当。
-以下で利用できる。
--インシデントの現状調査や原因究明
--[[責任追跡性、否認防止>SC:基礎#ta2bca33]] → [[デジタル...
*詳細 [#q389b974]
**主なログ [#q7a5b130]
|#|>|種類|概要|h
|1|OS|UNIXシステムログ|ログイン、プロセスの開始・終了、コ...
|2|~|Windowsイベントログ|ログイン、プロセスの開始・終了、...
|3|サーバ|WWWサーバ・アクセス・ログ|W3C 拡張、Microsoft I...
|4|~|SMTPサーバ・ログ|メール配送履歴|
|5|~|Proxyサーバ・ログ|サイトへのアクセス履歴|
|6|~|DNSクエリ・ログ|DNSクエリ(名前解決要求)の履歴|
|7|~|ディレクトリサーバ、認証サーバ・ログ|X.500、LDAP、そ...
|8|~|DBMSログ|アクセス履歴、操作(DDL、DML)の履歴|
|9|セキュリティ製品|[[F/W>SC:対策技術 - 防御・侵入検知#u...
|10|~|[[IDP>SC:対策技術 - 防御・侵入検知#f6597824]]/[[IP...
|11|~|[[AV(Anti virus)>SC:脅威#z511f41c]]|検知の履歴|
|12|~|[[EDR>SC:脅威#ba5aa3df]]|隔離(検疫)/ 駆除の履歴|
|13|~|URLフィルタ|検知 / 隔離(検疫)/ 駆除の履歴|
|14|~|[[サンドボックス>SC:対策技術 - 防御・侵入検知#yc73...
**ポイント [#naf7066e]
***適切なログ出力 [#y3e38e5b]
適切なログ出力が必要。
-不審な通信
--内部から外部への不審なファイル送信
--マルウェアなどによる通信
-一定時間で繰り返される
--ログイン
--権限取得
--設定変更
***ログの留意点 [#k7b0e6b8]
ログの管理運用における留意点
-ログの取得 / 保存 / 管理に関するポリシの設定
--保存期間
--管理方法
--機器への反映
-ログを安全に保存できるシステムの構築
--改ざん / 消去などの問題 → 保全の仕組み
--容量の問題 → 十分な容量
-必要な情報を記録するためのシステム面での工夫
--[[サーバー信頼モデル>https://techinfoofmicrosofttech.os...
--接続元IPを記録するためProxyでのXFF(X-Forwarded-For)ヘ...
(NATの外 → 内の通信では、送信元IPアドレスは変換されない)
-ログ運用 / 管理要員の確保と手順書の整備
--要員の確保
--手順書の整備
--そして、教育と訓練
-ログの定期的な分析
--システム:統合ログ管理システム、セキュリティ情報イベン...
--組織:[[SOC>SC:マネジメント#c5a8aa84]] → エスカレーシ...
終了行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>SC:対策技術]]
*目次 [#tcfca925]
#contents
*概要 [#gc3001ce]
-検知・追跡に該当。
-以下で利用できる。
--インシデントの現状調査や原因究明
--[[責任追跡性、否認防止>SC:基礎#ta2bca33]] → [[デジタル...
*詳細 [#q389b974]
**主なログ [#q7a5b130]
|#|>|種類|概要|h
|1|OS|UNIXシステムログ|ログイン、プロセスの開始・終了、コ...
|2|~|Windowsイベントログ|ログイン、プロセスの開始・終了、...
|3|サーバ|WWWサーバ・アクセス・ログ|W3C 拡張、Microsoft I...
|4|~|SMTPサーバ・ログ|メール配送履歴|
|5|~|Proxyサーバ・ログ|サイトへのアクセス履歴|
|6|~|DNSクエリ・ログ|DNSクエリ(名前解決要求)の履歴|
|7|~|ディレクトリサーバ、認証サーバ・ログ|X.500、LDAP、そ...
|8|~|DBMSログ|アクセス履歴、操作(DDL、DML)の履歴|
|9|セキュリティ製品|[[F/W>SC:対策技術 - 防御・侵入検知#u...
|10|~|[[IDP>SC:対策技術 - 防御・侵入検知#f6597824]]/[[IP...
|11|~|[[AV(Anti virus)>SC:脅威#z511f41c]]|検知の履歴|
|12|~|[[EDR>SC:脅威#ba5aa3df]]|隔離(検疫)/ 駆除の履歴|
|13|~|URLフィルタ|検知 / 隔離(検疫)/ 駆除の履歴|
|14|~|[[サンドボックス>SC:対策技術 - 防御・侵入検知#yc73...
**ポイント [#naf7066e]
***適切なログ出力 [#y3e38e5b]
適切なログ出力が必要。
-不審な通信
--内部から外部への不審なファイル送信
--マルウェアなどによる通信
-一定時間で繰り返される
--ログイン
--権限取得
--設定変更
***ログの留意点 [#k7b0e6b8]
ログの管理運用における留意点
-ログの取得 / 保存 / 管理に関するポリシの設定
--保存期間
--管理方法
--機器への反映
-ログを安全に保存できるシステムの構築
--改ざん / 消去などの問題 → 保全の仕組み
--容量の問題 → 十分な容量
-必要な情報を記録するためのシステム面での工夫
--[[サーバー信頼モデル>https://techinfoofmicrosofttech.os...
--接続元IPを記録するためProxyでのXFF(X-Forwarded-For)ヘ...
(NATの外 → 内の通信では、送信元IPアドレスは変換されない)
-ログ運用 / 管理要員の確保と手順書の整備
--要員の確保
--手順書の整備
--そして、教育と訓練
-ログの定期的な分析
--システム:統合ログ管理システム、セキュリティ情報イベン...
--組織:[[SOC>SC:マネジメント#c5a8aa84]] → エスカレーシ...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
