| Systemwalker Centric Manager 使用手引書 セキュリティ編 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第3部 セキュリティを強化するにはSystemwalkerの設定をどのようにしたらよいか | > 第10章 監査ログを分析する | > 10.2 Systemwalker Centric Managerの監査ログを分析する | > 10.2.2 Systemwalkerコンソールの操作を点検するには |
監査ログを分析するには、監査ログを集計するときの問い合わせ条件(集計項目)や、集計結果を表示する表のレイアウトの設定条件を、問い合わせファイルに定義する必要があります。
セキュリティ管理者は、Systemwalkerコンソールの監査ログを分析する場合の固有情報(認証の成功/失敗、許可されていないユーザからの接続、リモートコマンドの実行、ポリシー操作の有無)を設定するため、標準提供されているSystemwalkerコンソールの各監査ログの分析問い合わせサンプルファイルをカスタマイズします。
Systemwalkerコンソールの監査ログ分析では、以下の種類の問い合わせファイルを使用します。
以降の説明では、これらの問い合わせファイルを、まとめて“Systemwalkerコンソールのログ分析問い合わせサンプルファイル”と呼んでいます。
監査ログ分析のための設定は、以下の順で行います。
問い合わせサンプルファイルは、監査ログ分析機能をインストールしたときに、運用管理クライアントに格納されます。この問い合わせサンプルファイルをコピーしてカスタマイズします。
問い合わせサンプルファイルのインストール先は“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\sample\total”です。“Systemwalkerコンソールのログ分析問い合わせサンプルファイル”のファイル名は以下のとおりです。
|
問い合わせサンプルファイル |
ファイル名 |
|
Systemwalkerコンソールログインを点検分析する(1日) |
CMGR_ConsoleLogin_1Day.rne |
|
Systemwalkerコンソールログインを点検分析する(1週間) |
CMGR_ConsoleLogin_1Week.rne |
|
Systemwalkerコンソールログインを点検分析する(1か月) |
CMGR_ConsoleLogin_1Month.rne |
|
Systemwalkerコンソール想定外接続を分析する(1日) |
CMGR_IllegalConnection_1Day.rne |
|
Systemwalkerコンソール想定外接続を分析する(1週間) |
CMGR_IllegalConnection_1Week.rne |
|
Systemwalkerコンソール想定外接続を分析する(1か月) |
CMGR_IllegalConnection_1Month.rne |
|
Systemwalkerコンソール影響操作を分析する(1日) |
CMGR_ImportantOperation_1Day.rne |
|
Systemwalkerコンソール影響操作を分析する(1週間) |
CMGR_ImportantOperation_1Week.rne |
|
Systemwalkerコンソール影響操作を分析する(1か月) |
CMGR_ImportantOperation_1Month.rne |
Systemwalkerコンソールログイン点検分析(1か月)問い合わせサンプルファイルをc:\tempにコピーする場合の例を以下に示します。
|
copy c:\Systemwalker\MPWALKER.DM\mpata\sample\total\CMGR_ConsoleLogin_1Month.rne c:\temp |
→[Navigator クライアント]が起動されます。
→[開く]ダイアログボックスが表示されます。
[開く]ダイアログボックスで、手順1.で任意のディレクトリにコピーした“Systemwalkerコンソールのログ分析問い合わせファイル”を選択します。
→[サーバに接続]画面が表示されます。
→確認メッセージが表示されます。
ボタンの選択についての注意事項
[はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。
→[レイアウトの指定]画面が表示されます。
固有情報を編集するときは、[条件]欄の該当項目を選択し、編集画面で内容を書き換えます。
固有情報を複数設定する場合は、[データ項目]から該当項目を追加します。
→[条件のAND/OR編集]画面が表示されます。
→[条件]画面が表示されます。
→[Navigator クライアント]画面が表示されます。
ボタンの選択についての注意事項
[はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。
→[Navigator クライアント]画面が表示されます。
→“Systemwalkerコンソールのログ分析問い合わせファイル”が、運用管理クライアント上のファイルとして作成されます。
例として、以下の場所に保存します。
問い合わせファイル名についての注意事項
問い合わせファイル名は集計レポート出力コマンドで使用するため、ASCII文字210文字以内またはシフトJIS文字105文字以内で指定してください。
それぞれの問い合わせファイルに登録されている条件と、編集が必要な項目は以下のとおりです。
“Systemwalkerコンソールログイン点検分析(1日/1週間/1か月)問い合わせサンプルファイル”には、初期値として以下の条件が登録されています。
これらの条件は変更する必要はありません。
“Systemwalkerコンソール想定外接続分析(1日/1週間/1か月)問い合わせサンプルファイル”には、初期値として以下の条件が登録されています。
これらの条件のうち、操作者、操作場所、時刻、操作内容の値(太字部分)は運用に合わせて必ずカスタマイズする必要があります。
操作者にはオペレータのアカウント名を登録し、そのオペレータごとに利用を許可されている操作場所・時間の範囲・操作内容の値をそれぞれ設定します。
オペレータの人数や、許可されている操作場所や操作内容の個数に応じて、条件の追加、変更、削除を行ってください。
“Systemwalkerコンソール影響操作分析(1日/1週間/1か月)問い合わせサンプルファイル”には、初期値として以下の条件が登録されています。
これらの条件のうち、操作内容には点検対象とする影響度の大きい操作を検出するキーワードを設定します。必要に応じて、操作内容の条件を追加、変更、削除してください。
標準で設定されているキーワードの他に、影響度の高い操作を検出するキーワードとしては以下があります。
各条件の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”で“Systemwalkerコンソールログイン点検分析(1日/1週間/1か月)問い合わせサンプルファイル”、“Systemwalkerコンソール想定外接続分析(1日/1週間/1か月)問い合わせサンプルファイル”、“Systemwalkerコンソール影響操作分析(1日/1週間/1か月)問い合わせサンプルファイル”を参照してください。
動作確認をするために、編集したサンプルファイルを使用して実際に集計した結果と、監査ログの内容を比較します。
以下の手順で、編集したサンプルファイルを使用して、実際に集計します。
→[Navigator クライアント]が起動されます。
→[開く]ダイアログボックスが表示されます。
[開く]ダイアログボックスで、“Systemwalkerコンソールのログ分析問い合わせサンプルファイルを編集する”で編集した問い合わせファイルを選択します。
→[サーバに接続]画面が表示されます。
→確認メッセージが表示されます。
→以下の画面が表示されます。
→以下の画面が表示されます。
→集計結果が表示されます。
監査ログから以下の手順で監査ログを抽出し、サンプルファイルを使用して集計した結果と比較します。“Systemwalkerコンソールのログ分析問い合わせサンプルファイル”のサンプルファイルごとに抽出・比較手順を以下に説明します。
“Systemwalkerコンソールログイン点検分析(1日/1週間/1か月)問い合わせサンプルファイル”の内容は編集していないため、抽出・比較作業は不要です。
→サンプルファイルごとに確認した結果に問題がなければ、“Systemwalkerコンソールのログ分析問い合わせサンプルファイル”(Systemwalkerコンソールログインチェック)が正しく設定されており、運用で使用できることが証明されました。
|
目次
索引
|