パフォーマンスの向上、ビジネスインテリジェンスの収集、セキュリティ脅威の検出など、ログ管理は3つのステップに集約されます。しかし、ログデータの収集と分析は、SANS Instituteが特定した20の重要なセキュリティ管理の1つですが、ほとんどの組織は、法律で明確に義務付けられていない限り、ログの収集と分析を定期的に行っていません。始めましょう。
Dell SecureWorksで脅威対策部門の運用・開発ディレクターを務めるBen Feinstein氏は、優れたセキュリティログ分析は4つの主要な原則を中心に展開されると述べています。まず、ファイアウォール、仮想プライベート・ネットワーク・デバイス、Webプロキシ・サーバー、DNSサーバーからのデータなど、適切なログを監視する必要があります。次に、セキュリティ・チームは、企業ネットワーク内の「正常な」データを収集する必要があります。第三に、アナリストは、ログ・ファイルから攻撃を示すデータを特定できなければなりません。最後に、セキュリティ・チームは、ログ分析で特定されたイベントへの対応プロセスを持たなければなりません。
ファインスタイン氏は、「セキュリティ・チームが疑わしい行動がどのようなものかを把握していないのであれば、すべてのログをSIEMシステムに投入しても意味がありません」と述べています。セキュリティの専門家によると、企業は以下の5種類のイベントをチェックする必要があるとのこと:
1.ユーザーアクセスの例外
Active DirectoryドメインコントローラのWindowsセキュリティログと記録は、ネットワーク内の不審な活動を見つける最初の場所です。権限の変更、リモートの不明な場所からのユーザーアクセス、あるシステムから別のシステムにアクセスするユーザーなど、すべてが疑わしい活動の可能性があります。
HP ArcSightのプロダクト・マーケティング・エクスペリエンス担当であるキャシー・ラムは、次のように述べています。「攻撃の種類や、攻撃者がどのように環境に侵入するか(通常、攻撃者はユーザーを装い、1年以上とは言わないまでも、数カ月間ネットワーク内に潜伏している)を調べると、正常な活動のベンチマークと、現在の活動がベンチマークと比較してどうであるかを調べることで、疑わしい活動を特定することができます。"
特に重要なのは、特権アカウント、つまりネットワーク上の複数のシステムで管理者権限を持つユーザーです。これらのアカウントはネットワーク上でより多くの権限を持つため、組織はより綿密に監視する必要があります。
2.脅威の指標を照合する方法
また、企業は、ブラックリストの作成や、より包括的な脅威インテリジェンスサービスなどを通じて、ログのデータとアクセスできる脅威の指標を比較する必要があります。
Threat Indicator Suspiciousは、ファイアウォール、DNSサーバー、Webプロキシサーバーのログから、疑わしいIPアドレス、ホスト名、ドメイン名、マルウェアのシグネチャを特定するのに役立ちます。同氏は、「Webプロキシサーバーのログは、ネットワークトラフィック、すなわちエンドポイントシステムがネットワークにどのように接続しているかを強力に可視化します。
3.計画外の構成変更
SolarWinds社のバイスプレジデントであるSanjay Castelino氏は、「システムにアクセスした攻撃者は、多くの場合、設定を変更して攻撃を続行し、ネットワークへの足がかりを得ようとします。
場合によっては、このような分析が組織の攻撃検知に役立つこともあります。セキュリティ製品を管理するために使用されるルールは非常に複雑であることが多く、単純な分析で悪意があるかどうかをチェックすることは困難です。逆に、セキュリティ・チームが特定のメンテナンス期間外に行われた変更にフラグを立てるのは簡単です。
4.奇妙なデータベース転送
データベースは組織のインフラストラクチャーの重要な一部であるため、組織はデータベースの転送を監視し、疑わしい活動を検出する必要があります。例えば、大容量のデータを選択してコピーしようとするリクエストは、注意深く監視する必要があります。
さらに、データベース通信を監視するだけでは十分ではありません。データ転送のログはデータベースのパフォーマンスに影響を与えるかもしれませんが、データ侵害を調査する際には非常に貴重です。セキュリティ管理会社 Solutionary のエンジニアリング・リサーチ・チームのリサーチ・ディレクターである Rob Kraus 氏は、次のように述べています。「顧客から、どのレコードがアクセスされ、どのレコードがアクセスされなかったかを不審に思って証明するよう依頼された場合、その足跡は通常、データベースに引っ張られます。このデータが記録されていない場合、これは本当に難しいことで、どのレコードが触られたかを正確に言うことはできません。"
5.新しい機器のユーザー構成
モバイル・デバイスの出現と、自分のデバイスを職場に持ち込む傾向により、組織はネットワークに接続された新しいデバイスを不審なものとみなすことがありました。しかし現在では、これはもはや脅威の兆候ではありません。
