2.8 セキュリティ監視を行う

Systemwalker Centric Manager 使用手引書監視機能編 - UNIX共通 - - Microsoft(R) Windows NT(R)/Microsoft(R) Windows(R) 2000/Microsoft(R) Windows Server(TM) 2003 -

目次索引

第2章監視する

2.8 セキュリティ監視を行う

インターネットサーバ上のWWWサーバへのアクセス状況から、セキュリティ監視を行います。インターネットサーバ上のWWWサーバへのアクセス状況を監視し、次の事象を検出した場合にイベントを通知することができます。

負荷アタックの検出
ユーザ認証へのハックの検出
不正アクセスの検出

■負荷アタックの監視

WWWサーバのログから、ホスト毎のアクセス件数を集計し、アクセス数がしきい値を超えたとき、負荷アタックと判断してイベントが通知されます。通知イベントにより、特定ホストからの負荷アタックがあったことを、早期に認識することができます。

■認証ハックの監視

WWWサーバのログから、HTTPステータスコードが401であるログをホスト毎に集計し、アクセス数がしきい値を超えたとき、認証ハックと判断してイベントが通知されます。通知イベントにより、特定ホストからの認証ハックがあったことを、早期に認識することができます。

■不正アクセスの監視

WWWサーバのログから、HTTPステータスコードが403であるログをアクセス元ホスト毎に集計し、アクセス数がしきい値を超えたとき、不正アクセスと判断してイベントが通知されます。通知イベントにより、特定ホストからの不正アクセスがあったことを、早期に認識することができます。

しきい値超えが発生すると、以下のメッセージが通知されます。

条件	種別	イベントメッセージ
負荷アタックの検出	警告	AP:MpNsagtMain: WARNING: 18: セキュリティ監視において，WWWサービスへの負荷アタックの可能性があります．(相手ホスト:HHH 監視間隔:III しきい値:LLL 現在値:PPP)
認証ハックの検出	警告	AP:MpNsagtMain: WARNING: 19: セキュリティ監視において，WWWサービスへの認証エラーが発生しています．(相手ホスト:HHH 監視間隔:III しきい値:LLL 現在値:PPP)
不正アクセスの検出	警告	AP:MpNsagtMain: WARNING: 20: セキュリティ監視において，WWWサービスへの不正アクセスが発生しています．(相手ホスト:HHH 監視間隔:III しきい値:LLL 現在値:PPP)

※HHHはWWWサーバへのアクセス元ホスト名、IIIは監視間隔、LLLは閾値、PPPはアクセス数を表します。

※上記のイベントメッセージはWindows版の場合です。Unix版では先頭の“AP”が“UX”となります。

※通知の結果、監視種別はネットサーバとなります。

■手順

Systemwalkerコンソールから、監視対象となる管理サーバのノードアイコンを選択し、[ポリシー]メニューの[ポリシーの定義]－[インターネットサーバ]－[ノード]を選択します。
[インターネットサーバ管理－動作環境設定]画面で監視する項目をチェックし、監視間隔およびイベントを通知するしきい値を設定します。監視項目の初期値は、以下のとおりです。

設定項目	監視間隔(初期値)	しきい値(初期値)
負荷アタックの検出	1分	600回
ユーザ認証ハックの検出	1分	50回
不正アクセスの検出	1分	10回

監視可能なWWWサーバをは以下に示します。

Internet Information Server 3.0(Windowsのみ)
Internet Information Server 4.0(Windowsのみ)
Internet Information Server 5.0(Windowsのみ)
Internet Information Server 6.0(Windowsのみ)
Apache1.2.6(Solaris OEのみ)
Apache1.3.3
Apache1.3.4
Apache1.3.9
Apache2.0.36(Solaris OEのみ)
Apache2.0.44(Windowsのみ)
Apache2.0.43(Solrisのみ)
InfoProvider-Pro V2.0
Netscape Enterprise Server V3.5.1
Sun WebServer1.0(Solaris OEのみ)
Sun WebServer2.0(Solaris OEのみ)

目次索引