ketyiaの学んだこと議事録

このサイトでは学んだことを記事にまとめていきます

CNDの勉強61 ~ネットワークのログについて~


こんにちは!
CNDの勉強をしていきます

本記事では、「ネットワークのログ」についてまとめていきます!

ログとは


ログとは、ネットワーク、アプリケーション、OS、サービスなど、情報システムの様々なコンポーネントによって監査証跡の形式で生成される、イベントに関する情報やデータの集まりのことです。

ログは下記の理由から必要とされています。

セキュリティインシデントの特定

・ポリシー違反の監視

・不正なアクティビティの特定

・長期的な問題特定

・ベースライン設定

・法令、ルール、法則の順守


また、ログのフォーマットは下記です。

・ユーザ識別情報

・日時

・イベントタイプ

・成功OR失敗

・イベント発生点

・説明

・重要度

・サービス名

プロトコル


ロギングの手法


ローカルロギング

ホストマシン内のユーザアクティビティのログを収集します。

集中ロギング

ネットワークデバイスによって生成されたログが中央サーバに保管されてます。

 

Windowsのログ


WindowsOSは、ログを通じて様々なイベント、アクティビティ、機能を追跡します。「Event Viewer」というデフォルトに入っているアプリで確認することができます。

「システム」「セキュリティ」「セットアップ」「アプリケーション」「転送」についてのイベントのログを確認することができます。

また、「level」のエントリには「Error」「Warning」「Information」「Success Audit」「Failure Audit」に区分されています。ログの量は膨大なので、一つ一つ見ていくと、砂漠から宝石を探すくらい大変です。ので、それぞれのレベルで深刻度を把握していくことがとても大切です。

Linuxのログ


LinuxOSは、OSのアクティビティやイベントの記録を「/var/log」の配下にテキスト形式で保存しています。

「メッセージやシステム情報」「認証」「カーネル」「Cron(バッチ)ジョブ」「メール」「qmailログディレクトリ」「サーバ」「lighttpd」「システムブートログ」「データベース」「ログイン情報」「yum(パッケージ)」の情報ログを取得し、格納しています!

重要度のレベルは、0~7があり数字が低いほど深刻です。。0はシステムが使用できない状況のレベルなので、すぐに対策が必要だということを教えてくれています。

コマンドは、テキスト情報を表示する「cat」「more」「less」「tail」「grep」コマンドを使用して確認します!

Macのログ


Mac OSは、「セキュリティ」「ファイアウォール」「ユーザ」「コマンドライン」「共有アプリ」のログを取得します。

ログは、「/var/log」「~/Library」「/Library/Logs」にそれぞれの種類に応じて格納されます。

また、フォーマットは「MMM DD HH:MM:SS ホストサービス:メッセージ」で出力されています。

 

ファイアウォールのログ


攻撃者は、ファイアウォールを通過しようとするときに足跡を残すことが多いです。その際に、基本的な情報を取得し、攻撃を調べるのにファイアウォールのログはとても役に立ちます!

分析の手順は下記の通りです。

1 ローカルPCやサーバ内のログファイルの場所を特定します。
 → win = C:\windows\system32\LogFiles\Firewall
 → Mac = /private/var/log
 → Linux(iptables) = /var/log/messages
 → Cisco(Cisco ASA) = show logging ※ルータも同様に確認できる

2 ファイアウォール内のフィールドを識別して分析し、証拠を収集します

3 異なるソースから入出力接続に合わせてファイアウォールログを解釈します

4 送信元IPアドレス、宛先IPアドレス、および入接続に対してファイアウォールが実行する動作を特定します

5 IPアドレス追跡ルーツを使用して送信元IPアドレスの場所を特定します


WEBサーバのログ


Internet Information Service(IIS)

Windowsサーバ用のWEBサーバで、WEB上すべてをホストします。

Apache

サーバアクティビティを監視するため、エラーログとアクセスログを保持します。


集中ログについて


集中ログを使用することで、各デバイスのログをまとめることができます。これによりスタッフは、異常に関するログを明確かつ、迅速に監視、分析、レビューを行うことができます。

また攻撃者からの視点から、ログをターゲットデバイスだけでなく、集中ログで取得していると痕跡を消すことがさらに困難になります!

集中ログのプロセスは下記のように行っています。

・ログの収集

・ログ送信

・ログの保存

・ログの正規化

・ログの相関

・ログ分析

・アラートとレポート

まとめ


今日はここまでです。
ネットワークトラフィックについてを飛ばしてログに進んでしまったので、明日トラフィックについてまとめます(汗)

ログに関しては、セキュリティを学んでいる人でないと意識しないものだとは思いますが、ログを読めるとPCと会話できるようになったも同然で深いところまで使いこなせるようになります!!ITで一つ上のステージに行くには必要になりますね。。一緒に頑張りましょう♪

ここまで読んでいただきありがとうございました。