イベントログセキュリティのためのイベントとエンドポイントログの活用

イベントログは、オペレーティングシステム、アプリケーション、またはデバイスの使用状況や操作に関する情報を含むファイルです。セキュリティの専門家やSIEMscのような自動化されたセキュリティ・システムは、このデータにアクセスして、セキュリティやパフォーマンスの管理、IT問題のトラブルシューティングを行います。

エンドポイントデバイス、アプリケーション、サービスの数が増え続けている現代の企業では、ネットワーク監視だけではセキュリティとIT運用を管理することはもはや不可能です。イベントログ、特にエンドポイントログは極めて重要である。

イベントログとセキュリティログの紹介

エンドユーザーデバイスやITシステムで発生したイベントは、一般的にログファイルに記録される。オペレーティング・システムは、ログ・ファイルを使ってイベントを記録する。各オペレーティング・システムは独自のログ・ファイルを使用し、アプリケーションやハードウェア・デバイスもログを生成します。セキュリティ・チームは、セキュリティ・ログを使用して、企業ネットワーク上のユーザーを追跡し、疑わしい活動を特定し、脆弱性を検出することができます。

ほとんどのセキュリティおよびIT組織は、処理しきれないほどのログ情報がシステムから生成されていることに気づきます。イベント・ログ管理ツールは、ログの分析、ログに記録された重要なイベントの監視、セキュリティ・インシデントの特定と調査に役立ちます。

のキーコンセプトログ管理

セキュリティのためのエンドポイントログの使用

エンドポイント・デバイス（その多くはラップトップ、携帯電話、その他のモバイル・デバイス）の使用が増加するにつれ、エンドポイント・ログはセキュリティにとってより重要になってきている。エンドポイント・デバイスにアクセスした攻撃者は、それを使ってネットワークに侵入することができます。そのため、エンドポイントログからデータを収集し、悪意のある活動や不正な活動を特定することが不可欠です。

セキュリティのためのWindowsイベントログの使用

Windowsオペレーティングシステムは、ソフトウェアまたはハードウェアコンポーネントのアクティビティを記録します。管理者は、この情報にアクセスして、問題を検出し、トラブルシューティングすることができます。イベントの分類には、6つのデフォルト・カテゴリが使用されます：

• アプリケーションログ-アプリケーションによって記録されるイベント。開発者は、アプリケーションによって記録されるイベントを決定します。アプリケーションは複数のソースから情報をログに記録することができます。イベント ID と一緒にソースを記録することが重要です。
• システムログ -オペレーティングシステムによって記録されるイベント。例えば、起動プロセス中にドライバが経験した問題など。
• セキュリティログ -ログインの試行やファイルの削除など、セキュリティに関するイベント。管理者は、監査ポリシーに従って、セキュリティログに入力するイベントを決定する。
• ディレクトリサービスログ -認証や権限の変更などのアクティブディレクトリ操作を記録する。ドメインコントローラーでのみ利用可能。
• DNSサーバーログ-DNSアクティビティを記録する。DNSサーバーでのみ利用可能。
• ファイルレプリケーションサービスログ -ドメインコントローラーレプリケーションを記録。

イベントビューアと呼ばれるWindowsシステムは、上記のすべてのカテゴリにまたがるイベントログを表示するために使用することができる。イベントビューアは、日時、ユーザー名、コンピュータ、ソース、タイプなどのイベントに関する情報を表示する。

セキュリティ・ログ・イベントの種類

あらゆる種類のイベントがセキュリティ・インシデントの調査に関連する可能性があるが、セキュ リティ・ログは特に重要である。Windowsは、ログイン試行時にセキュリティ・ログ・エントリーを生成し、ログイン試行が成功した場合には追加情報をログに記録する。ログに記録されるイベントの種類は以下の通りである：

セキュリティ調査でよく使われるWindowsログイベント

以下は、Windows 7/Vista/8/10およびWindows Server 2008/2012/R2/2016/2019（Windowsの旧バージョンは異なるコード）で一般的なイベントコードで、セキュリティ調査でよく使用されるものです：

セキュリティのためにLinuxのイベントログを使う

Linuxオペレーティング・システムは、サーバー、カーネル、および実行中のアプリケーションに関連するイベントのタイムラインを保存します。主なログのカテゴリは以下のとおりです：

• アプリケーションログ
• イベントログ
• サービスログ
• システムログ

Linuxでログを見るにはいくつかの方法がある：

• ディレクトリにアクセスするcd/var/log.特定のログタイプは、例えば、ログフォルダーの下のサブフォルダーに保存されます、var/log/syslog.
• を使用する。dmsegコマンドですべてのシステムログを参照する
• を使用する。tailコマンドを実行すると、特定のログファイルに書き込まれた最後の行が表示される。例えばtail -f /var/log/syslogは、ファイルに書き込まれた次の行を表示し、 syslogファイルの変更をその都度追うことができる。

以下は、よく使われるLinuxのログファイルである：

• /var/log/syslogまたは/var/log/messages-一般的なシステム・アクティビティ・ログ。起動時に発生する可能性のある問題を検出したり、アプリケーション・サービス・エラーを切り分けたりするために使用される。RedHat ベースのシステムは messages フォルダに、Debian ベースのシステムは syslog フォルダに情報を保存します。
• /var/log/auth.logまたは/var/log/secure-すべての認証および認可ログ。ログインの失敗を調査するのに使われる。RedHat ベースのシステムでは auth.log フォルダに、Debian ベースのシステムでは secure フォルダに保存されます。
• /var/log/kern.log-カスタムカーネルを含むカーネルのアクティビティログ。
• /ログインに失敗しました。
• / var/log/maillog または var/log/mail.log-メールサーバー関連のログ。スパムとしてタグ付けされたメールや、postfixやsmtpdの不審な使用などの問題を追跡するために使われる。

Security Investigation、Linuxイベントログのどのデータに注目すべきか？

組織内の Linux システムのリスクアセスメントを実施し、必要なログのレベル、ログのレ ビュー方法、セキュリティアラートを生成するログイベントを決定する。ほとんどの場合、セキュリティ目的で、Linux システムに関する以下の情報をログに記録する必要があります：

• ユーザーIDと端末ID
• ユーザーによるログイン試行とログオフ
• システム、データ、アプリケーション、ファイル、ネットワークへのアクセスを試みる行為（ローカルマシン、LAN、WANを問わない
• Linux設定の変更
• マシン上で実行可能なプロセスを実行する
• システムユーティリティの使用
• セキュリティ関連のイベント、セキュリティ・ツールの有効化または無効化

iOSのログをセキュリティに利用する

iOSはイベントを記録しませんが、アプリケーションのクラッシュレポートを記録します。iOS 10.0以降では、アプリケーションイベントを記録するために使用できるAPIが提供されています。クラッシュレポートとロギングAPIを使用して、開発中または実運用中のアプリケーションで発生したエラーを見つけ、調査することができます。

iOSデバイスは、ハードウェアとソフトウェアの両方で実装された独自のセキュリティ機能を備えています。ロギングAPIは、これらのセキュリティ機能によって生成されたデータへのアクセスを提供します。これらには以下が含まれる：

• データの暗号化 -個人データとビジネスデータの両方を不正使用から保護します。
• アプリのセキュリティ -iOSアプリのセキュリティを検証します。
• ネットワーク・セキュリティ -安全な認証と暗号化されたデータ伝送のためのプロトコルを開発者に提供する。
• Apple pay-iOSデバイスで安全にお支払いいただけます。個人情報は収集されません。
• インターネットサービス -iOSは、iMessageやiCloudバックアップなど、さまざまな安全なサービスを提供しています。
• ユーザーのパスワード管理 -パスワード自動入力キーチェーンなどの認証方法。アプリはユーザーの許可なくこの情報にアクセスできません。
• デバイス・コントロール -盗まれたデバイスをリモートでワイプするなどのアクションを可能にする管理ツール。
• プライバシー・コントロール-ユーザーは、どのアプリがどの情報にアクセスするかを決めることができる。

Androidのログをセキュリティに利用する

Androidは、カーネルドライバ、C、C++、Javaクラスからのログを含む、すべてのシステムとアプリケーションのログへのアクセスを提供するプラットフォームを提供します。ロギング・プラットフォームは、ログ・メッセージの表示とフィルタリングのためのアプリケーションを提供します。

アンドロイド・ログの種類

• アプリケーションログ -アンドロイドアプリケーションはandroid.util.Logクラスを使用してログメッセージを作成します。アプリケーションは、ログのフィルタリングやアラートを可能にするために、ログレベルやメッセージの「重大度」、説明タグを設定することができます。
• イベントログメッセージは​android.util.EventLogクラスは、バイナリ形式のログメッセージを使用します。ログエントリは、バイナリタグコード、バイナリパラメータ、ログメッセージ文字列で構成されます。メッセージコードは/system/etc/event-log-tags.
• システム・ログ -Androidフレームワークのクラスは、アプリケーション・ログからメッセージを分離するためにシステム・ログを使用します。Androidのクラスはandroid.util.Slog class.

ロギング機密データ

• 組織がユーザーデータをどのように扱っているかに注意してください。Androidでは、ログはREAD_LOGS権限を持つアプリケーションに共有されるため、意図せず他のアプリケーションにユーザーデータを漏らしてしまう可能性があります。
• ユーザーデータは最小限に抑える。これは、個人情報(PII)の保存や送信を避けることで実現できます。外部コンポーネントは、そうする理由がない場合、ユーザーデータにアクセスすべきではありません。
• アプリケーションがデータにアクセスする必要がある場合は、クライアント経由で直接アクセスできるようにする。こうすることで、データを他のサーバーに転送する必要がなくなる。

監視を検討すべきその他のログ

上記の一般的なログ・ソース以外にも、ログを生成する企業システムやセキュリティ・ツールは数多くある。そのすべてにセキュリティ上の意味があるかもしれない。しかし、多くの組織ではセキュリティのマンパワーが限られているため、アナリストが監視するログに優先順位をつけることが極めて重要である。

以下は、組織で遭遇する可能性のある一般的なログおよび情報ソースのリストです。セキュリティ・チームが定期的に監視する最も重要なソースを選択する。

セキュリティ情報とイベント管理（SIEM）ロギング

SIEMロギングとは、セキュリティ目的でログを集約し、監視するプロセスである。SIEMシステムは、セキュリティ・チームが組織全体のITシステムやセキュリティ・ツールからイベント・データを収集し、セキュリティ・インシデントを示す可能性のある不審な行動を特定するために使用する。

SIEMによって追跡される一般的なセキュリティ関連のログイベントには、以下のようなものがある：

• アンチウイルスまたはエンドポイントプロテクションからのマルウェア感染のアラート
• 電子メールに含まれるスパムや悪意のあるコンテンツに関する電子メールシステムからの警告
• ブロックされたネットワーク・トラフィックに関するファイアウォール警告
• 不明なホストまたはIPからのシステムへの接続
• ログインの失敗（特に重要なシステムを対象として何度も繰り返される場合
• ユーザー権限の変更（特に権限の昇格
• 新しいポートや未知のポート、安全でないプロトコルやセキュリティポリシーに違反するプロトコルを使用する。

相関ルールを使ったセキュリティ・インシデントの検出

従来、SIEM は相関ルールを使用してログからアラートを生成していた。相関ルールは、一連のイベントと、セキュリティ上の脅威を示す可能性のある特定のログの値または値の範囲（例えば、3回以上のログイン試行失敗）を指定します。ログからセキュリティリスクを抽出するもう1つの方法は、自動スキャナが攻撃者に狙われる可能性のあるソフトウェアの脆弱性についてネットワークをスキャンする脆弱性分析であり、これらのスキャンの一部はログに依存している。

セキュリティ・インシデントの検出行動分析

次世代SIEMテクノロジーは、ユーザーおよびイベント行動分析（UEBA）を使用して、サーバー、エンドポイント、アプリケーションなど、ネットワーク上のユーザーやその他のエンティティの行動ベースラインを確立します。行動分析エンジンは行動を監視し、それがベースラインから逸脱しているかどうか、言い換えれば、厳密な相関ルールで定義できなかったとしても、何かが「違って見える」場合にそれを特定することができます。乖離が十分に大きく、セキュリティリスクを示していると思われる場合、UEBAシステムはアラートを発します。これは、内部脅威、詐欺、高度持続的脅威（APT）、および相関ルールに基づく検出を容易に回避できるその他の高度な攻撃手法の検出に役立ちます。UEBAを組み込んだ次世代SIEMの例については、Exabeam Advanced Analyticsをご覧ください。