【第5回】ログ分析の勘所(Proxyサーバ編)

この記事をtweetする このエントリーをはてなブックマークに追加

2016/05/11

年金機構の事件に学ぶ効果的なインシデント対応

自己紹介
シーティーシー・テクノロジー株式会社 川崎 一人
主な経歴
SIベンダーにて、インフラ設計・構築や新規ネットワークソリューション開発に従事。その後、CTCテクノロジーにてITエンジニア向け研修サービスのインストラクターを担当。PaloAlto Networks…

【第5回】ログ分析の勘所(Proxyサーバ編)

インシデント対応のための体制(CSIRT)やセキュリティ対策等の準備が完了すると、いよいよ運用フェーズに入ります。運用フェーズでは、インシデントの兆候をいち早く発見するため、サーバやUTM等のログを監視・分析する必要がありますが、「ログの種類が多すぎて、分析対象が絞り込めない!」「どんなログがインシデントの痕跡なのか分からない!」といった問題を抱えている方も多いのではないでしょうか?

そこで今回のコラムでは、インシデント検知に役立つログ分析のポイントについて紹介します。


1

Proxyサーバのログに残るインシデントの痕跡

数あるログの中で、インシデント(特に標的型攻撃)の検知・分析に最も有用なのがProxyサーバのログです。Proxyログには通常、社員や職員のWebアクセス履歴が記録されますが、この中にマルウェアによる不正通信の痕跡が含まれている可能性があります。

具体例として、図10をご覧下さい。
こちらは、とある組織におけるProxyサーバ(ソフトウェア名:Squid)のアクセスログですが、どの部分(行番号)がマルウェアによる不正通信の痕跡でしょうか?

図10 Proxyサーバのアクセスログ
図10 Proxyサーバのアクセスログ

ご覧の通り、Proxyサーバのログには様々な情報が記録されますが、インシデント検知の際に特に注目すべき項目は、「接続先URL」と「UserAgent」です。


2

「接続先URL」の分析

標的型攻撃においては、PCに感染したマルウェアがProxyサーバ経由でC&Cサーバに接続を試みることがありますが、このような場合、Proxyログの「接続先URL」にはC&Cサーバのアドレスが記録されることになります。このため、Proxyログの接続先URLを定期的にチェックすることで、マルウェアによる不正通信を発見できる可能性があります。

具体的な手順は次の通りです。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには・・・

会員登録をすると自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

ログ分析/【第5回】ログ分析の勘所(Proxyサーバ編)」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ログ分析」関連情報をランダムに表示しています。

ログ分析」関連の製品

ネットワーク/セキュリティ担当者のためのログ分析の基本 【トレンドマイクロ】 Webフィルタリングソフト InterSafe WebFilter 【アルプス システム インテグレーション】 サイトアンパイア 【アルプス システム インテグレーション+他】
セキュリティ診断 フィルタリング フィルタリング
ネットワーク/セキュリティ担当者のためのログ分析の基本 Webの閲覧やSNS、Webメール等の利用を規制・管理するソフトウェア。携帯キャリア独占の高品質データベースと使いやすさにこだわったログ分析機能を搭載。 ルータ一体型のURLフィルタリングサービス。ルータでの一括設定/管理で、運用の手間やコストを削減。簡単な設定と分かりやすいカテゴリで中小規模オフィスに最適。

ログ分析」関連の特集


待ったなし!来年1月に迫ったマイナンバー制度の実施。安全管理措置は大きな課題だが、IT資産管理ツール…



なくならない脆弱性とそれを狙う攻撃…。どうすればサイバー攻撃を防ぐことができるのか?脆弱性をなくすコ…



たった1通の“何気ないメール”が命取り!?顧客情報や設計情報などの機密情報を狙う標的型攻撃と、注意す…


ログ分析」関連のセミナー

標的型攻撃対策の見直しポイント発見セミナー 【主催:アシスト 】  

開催日 12月15日(金)   開催地 東京都   参加費 無料

巧妙化する標的型攻撃には、マルウェア侵入を前提とした多層防御が必要です。多層防御には、何を実施し何を実施しないかの取捨選択が常に必要となります。本セミナーでは、…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

ログ分析/ 【第5回】ログ分析の勘所(Proxyサーバ編)」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ログ分析/ 【第5回】ログ分析の勘所(Proxyサーバ編)」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30008880


IT・IT製品TOP > 中堅中小企業 > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ