Systemwalker Centric Manager 使用手引書 セキュリティ編 - UNIX/Windows(R)共通 -

目次 索引

10.2.3.4 監査ログを分析する手順

以下の観点で監査ログを分析します。

• サーバへのアクセス状況を確認し、サーバアクセス制御のポリシー設定の妥当性を確認する
• サーバに対し、許可されていないユーザによる不正なアクセスが行われていないか
• サーバアクセス制御に対し、不正な操作が行われていないか
• サーバ操作制御ポリシーが改ざんされていないか
• サーバ操作が正しく行われているか

■サーバへのアクセス状況を確認し、サーバアクセス制御のポリシー設定の妥当性を確認する

集計レポート結果から、ポリシー設定の妥当性を評価します。

• 本来、拒否すべき操作が許可されていないか
  • [実行結果]が[許可]となっている操作について、拒否すべき操作はないか
• 本来、許可すべき操作が拒否されていないか
  • [実行結果]が[拒否]となっている操作について、許可すべき操作はないか

それぞれの操作について「検索」機能を利用して、問題発生時刻、操作内容、操作対象の特定を行う場合は、以下の操作をします。

1. [統合コンソール]を起動し、[監査ログ分析-検索]画面を起動します。
2. [検索範囲の設定]で、以下の設定をします。
   • [検索開始日時]：集計結果から特定の件数以上の監査ログが存在する日付の0時0分0秒
   • [検索終了日時]：集計結果から特定の件数以上の監査ログが存在する日付の23時59分59秒
3. [検索条件の設定]で、以下の項目を選択します。
   • [ログ種別]：CMGRSvacLog
   • [操作種別]：「コンソールログイン」、「ネットワーク」、「ファイル/ディレクトリハードリンク」、「ファイル/ディレクトリ作成操作」、「ファイル/ディレクトリ削除操作」、「ファイル/ディレクトリ書き込み操作」、「ファイル/ディレクトリ属性変更操作」、「ファイル/ディレクトリ読み取り操作」、「ファイル/ディレクトリ変名操作」、「プロセス起動」、「プロセス強制停止」
   • [操作者]：集計結果から1件以上のアクセスの監査ログが存在する操作者名
   • [実行ホスト]：集計結果から1件以上のアクセスの監査ログが存在する実行ホスト名
4. [検索開始]ボタンをクリックします。
5. 検索結果から、操作日の詳細情報を確認します。
6. 確認結果をセキュリティ管理者へ通知します。

◆試行モードを利用している場合

試行モードで出力されたアクセス監査ログを抽出し、セキュリティ管理者に抽出結果を通知する場合は、以下の操作をします。

1. [統合コンソール]を起動し、[監査ログ分析-検索]画面を起動します。
2. [検索範囲の設定]で、以下の設定をします。
   • [検索開始日時]、[検索終了日時]：分析対象の期間
3. [検索条件の設定]で、以下の項目を選択します。
   • [ログ種別]：CMGRSvacLog
   • [拡張値３]：試行モード有効
4. [検索開始]ボタンをクリックします。
5. [検索結果一覧]で、[CSV形式で保存]を指定し、検索結果を任意のファイルに保存します。
6. 保存したファイルをセキュリティ管理者に通知します。

■サーバに対し、許可されていないユーザによる不正なアクセスが行われていないか

集計レポート結果から、不正なアクセス状況を確認します。

• 分析結果に集計件数が記載された行がない場合：サーバへの不正なアクセスはありません。
• 分析結果に集計件数が記載された行がある場合：サーバへの不正アクセスの可能性があります。

不当なユーザがサーバへアクセスした可能性がある場合、集計時間、実行ホスト名、ユーザ名、操作種別を確認します。

それぞれの操作者について「検索」機能を利用して、問題発生時刻の特定と操作内容、操作対象の特定を行います。「検索」機能は以下のように操作します。

1. [統合コンソール]を起動し、[監査ログ分析-検索]画面を起動します。
2. [検索範囲の設定]で、以下の設定をします。
   • [検索開始日時]：集計結果から特定の件数以上の監査ログが存在する日付の0時0分0秒
   • [検索終了日時]：集計結果から特定の件数以上の監査ログが存在する日付の23時59分59秒
3. [検索条件の設定]で、以下の項目を選択します。
   • [ログ種別]：CMGRSvacLog
   • [操作種別]：「コンソールログイン」、「ネットワーク」、「ファイル/ディレクトリハードリンク」、「ファイル/ディレクトリ作成操作」、「ファイル/ディレクトリ削除操作」、「ファイル/ディレクトリ書き込み操作」、「ファイル/ディレクトリ属性変更操作」、「ファイル/ディレクトリ読み取り操作」、「ファイル/ディレクトリ変名操作」、「プロセス起動」、「プロセス強制停止」
   • [アクセス制御結果]：「拒否」
   • [操作者]：集計結果から1件以上の不正なアクセスの監査ログが存在する操作者名
   • [実行ホスト]：集計結果から1件以上の不正なアクセスの監査ログが存在する実行ホスト名
4. [検索開始]ボタンをクリックします。
5. 検索結果から、該当操作日の詳細情報を確認します。
6. 確認結果をセキュリティ管理者へ通知します。

■サーバアクセス制御に対し、不正な操作が行われていないか

出力されたCSVファイルを元に、以下の観点で分析結果を評価します。

• 操作が行われた日付を特定します。

  集計内容の数字に着目します。0以外の値が存在している日にサーバアクセス制御に対する操作が行われています。

• 操作が行われた日付が妥当かどうかを確認します。

  該当する日付にサーバアクセス制御に対する操作を行っていない場合は、「検索」機能を使用して追跡調査を行う必要があります。

不当なユーザによるサーバへのアクセスの可能性がある場合、集計時間、実行ホスト名、ユーザ名、操作種別を確認します。

不当なユーザによるアクセスの可能性がある操作について「検索」機能を利用して、問題発生時刻の特定と操作内容、操作対象の特定を行います。「検索」機能は以下のように操作します。

1. [統合コンソール]を起動し、[監査ログ分析-検索]画面を起動します。
2. [検索範囲の設定]で、以下の設定をします。
   • [検索開始日時]：集計結果から該当する操作の日付の0時0分0秒
   • [検索終了日時]：集計結果から該当する操作の日付の23時59分59秒
3. [検索条件の設定]で、以下の項目を選択します。
   • [ログ種別]：CMGRSvacLogおよびCMGROpLog
   • [操作者]：集計結果から1件以上の不正なアクセスの監査ログが存在する操作者名
   • [実行ホスト]：集計結果から1件以上の不正なアクセスの監査ログが存在する実行ホスト名
   • [操作種別]：「システム保守開始コマンド」、「システム保守終了コマンド」、「システム保守承認コマンド」、「システム保守承認状況表示コマンド」、「ポリシー適用(アクセス制御設定)」、「swsvacpolin」、「swsvacpolout」、サーバアクセス制御設定時の画面タイトル名
4. [検索開始]ボタンをクリックします。
5. 検索結果から、該当操作日の詳細情報を確認します。
6. 確認結果をセキュリティ管理者へ通知します。

■サーバ操作制御ポリシーが改ざんされていないか

サーバ操作制御ポリシーの変更操作状況を、出力ファイルの内容から判断します。

「9/2に保守をかねたサーバ操作制御のポリシー変更がセキュリティ管理者により行われているが、9/4にはセキュリティ管理者の把握していない操作(ポリシー移入)が行われている」と想定します。

出力されたCSVファイルを元に、以下の観点で分析結果を評価します。

• ポリシーが変更された日付を特定します。

  集計内容の数字に着目します。0以外の値が存在している日にポリシーの変更が行われています。

• ポリシーが変更された日付が妥当か(システムの運用スケジュールとして、ポリシーの変更を予定していた日であるかどうか)を確認します。

  該当する日付が変更スケジュールにない場合は、ポリシーの不正改変が行われた可能性があります。追跡調査を行う必要があります。

■サーバ操作が正しく行われているか

サーバ操作状況を、出力ファイルの内容から判断します。

システム異常に起因したサーバ操作制御機能の停止はないか

サーバ操作制御を用いた運用が正しく行われているかを、システム異常の観点から分析します。集計結果から、まず、[録画異常]と[監査ログ異常]に着目します。録画データや監査ログの出力失敗は、点検を行えなくなる恐れがあるため、注目が必要な項目です。システムに対するDoS(サービス拒否)攻撃やBruteForce(パスワード奪取のための総当たり)攻撃などが行われた場合に異常を示す場合があります。

システム異常を疑い、システムログやアプリケーションログなどを日付、発生元サーバをキーに検索を行います。

1. [統合コンソール]を起動し、[監査ログ分析-検索]画面を起動します。
2. [検索条件の設定]で、以下の項目を選択します。
   • [実行ホスト]：検索対象のホスト名
   • [ログ種別]：SolarisSyslog
3. [検索開始]ボタンをクリックします。
4. [検索条件の保存・管理]ボタンをクリックし、検索条件を保存します。
5. 検索結果から、問題箇所を特定します。
6. 分析対象日以降、現在までに問題が解消されているかどうかを、部門責任者に確認します。

サーバに対する悪意のある操作はないか

システムに異常が発見された場合は、その原因がシステムへのセキュリティ攻撃であるかどうかを分析します。

集計結果の該当日のデータで、[実行権限のない操作]と[認証失敗]に着目します。特定の件数以上の監査ログが存在すると認められた場合、それぞれで検索を実施し、問題発生時刻の特定と操作者の特定を行います。

1. [統合コンソール]を起動し、[監査ログ分析-集計]画面を起動します。
2. [検索範囲の設定]で、以下の設定をします。
   • [検索開始日時]：集計結果から特定の件数以上の監査ログが存在する日付の0時0分0秒
   • [検索終了日時]：集計結果から特定の件数以上の監査ログが存在する日付の23時59分0秒
3. [検索条件の設定]で、以下の項目を選択します。
   • [ログ種別]：CMGRSVOpLog
   • [実行結果]：「失敗」を指定します。
   • [拡張値１]：「実行権限のない操作」または「認証失敗」(集計結果から特定の件数以上の監査ログが存在する異常内容)
   • [検索開始]ボタンをクリックします。
4. 検索結果から、該当操作日の詳細情報を確認します。
5. 同一人物による、繰り返し認証の失敗を確認した場合、または、実行権限のない操作を行っていることを確認した場合は、確認結果を部門責任者へ通知します。

部門責任者は、該当ユーザへの聞き取りを実施し、必要に応じて以下の対処を行います。

• 悪意ある第三者からの操作である場合、パスワードの変更などを実施し、問題を未然に防ぎます。
• 該当ユーザ自身の操作である場合は、操作内容と操作理由を確認します。利用権限の剥奪、または、必要な操作であったことが認められればサーバ操作制御のポリシー変更をセキュリティ管理者へ依頼します。
• 部門責任者は、セキュリティ管理者からの情報に基づき、必要に応じて録画データの再生を行うことによって、詳細な操作内容を確認します。

不正なアクセスを繰り返した形跡はないか

システムに異常が発見されなかった場合でも、[実行権限のない操作]や[認証失敗]の項目が多いときは、システムに対する不正がないか分析する必要があります。なぜなら、[実行権限のない操作]や[認証失敗]の項目が多いときは、パスワードクラックなどの不正アクセスの恐れがあるからです。

以下に該当する場合、検索を実施し調査します。

• 操作が行われるはずのない日時に操作異常が報告されている場合
• 操作が行われる日でも、特出した(100件程度以上)集計結果がでている場合

検索結果において以下の項目に着目し、該当操作日の詳細情報を確認します。

• [日時]
• [操作ホスト]
• [操作者]
• [操作種別]
• [操作内容]
• [実行結果]
• [追加情報]

分析結果から特定のユーザや操作を追跡調査する

前日までの分析結果から、特定ユーザや、特定操作に[実行権限のない操作]または[認証失敗]が集中していることがわかった場合は、成功の点検結果も含めて操作の追跡を実施します。

この分析を行うためには、サンプルファイルのカスタマイズが必要です。

以下に手順を示します。

1. サーバ不正操作分析問い合わせサンプルファイルを開きます。

   →[レイアウトの指定]画面が表示されます。

2. [データ]領域、[操作者]を選択し、右クリックで表示されるメニューから、[詳細指定]を選択します。

   →[データ項目の詳細指定]画面が表示されます。

   

3. [条件設定]ボタンをクリックします。

   →[条件の指定]画面が表示されます。

4. 以下の項目を入力し、[OK]ボタンをクリックします。
   • [指定]、[NULL値を除くすべて]、[NULL値のみ]、[指定しない]のうち、[指定]をチェックします。
   • [一致指定]をチェックします。
   • [一致指定]タブから、[一致キー]に対象のユーザ名、[検索方法]に[一致するデータ]を指定します。

作成した問い合わせファイルは運用管理サーバへコピーし、対象ユーザの追跡調査用の問い合わせファイルとして定期的に集計を実行します。

集計手順は以下のとおりです。

1. [統合コンソール]を起動し、[監査ログ分析-集計]画面を示します。
2. [サーバ不正操作分析問い合わせサンプルファイル]を起動し、集計結果を表示します。

目次 索引