【第5回】ログ分析の勘所(Proxyサーバ編)

この記事をtweetする このエントリーをはてなブックマークに追加

2016/05/11

年金機構の事件に学ぶ効果的なインシデント対応

自己紹介
シーティーシー・テクノロジー株式会社 川崎 一人
主な経歴
SIベンダーにて、インフラ設計・構築や新規ネットワークソリューション開発に従事。その後、CTCテクノロジーにてITエンジニア向け研修サービスのインストラクターを担当。PaloAlto Networks…

【第5回】ログ分析の勘所(Proxyサーバ編)

インシデント対応のための体制(CSIRT)やセキュリティ対策等の準備が完了すると、いよいよ運用フェーズに入ります。運用フェーズでは、インシデントの兆候をいち早く発見するため、サーバやUTM等のログを監視・分析する必要がありますが、「ログの種類が多すぎて、分析対象が絞り込めない!」「どんなログがインシデントの痕跡なのか分からない!」といった問題を抱えている方も多いのではないでしょうか?

そこで今回のコラムでは、インシデント検知に役立つログ分析のポイントについて紹介します。


1

Proxyサーバのログに残るインシデントの痕跡

数あるログの中で、インシデント(特に標的型攻撃)の検知・分析に最も有用なのがProxyサーバのログです。Proxyログには通常、社員や職員のWebアクセス履歴が記録されますが、この中にマルウェアによる不正通信の痕跡が含まれている可能性があります。

具体例として、図10をご覧下さい。
こちらは、とある組織におけるProxyサーバ(ソフトウェア名:Squid)のアクセスログですが、どの部分(行番号)がマルウェアによる不正通信の痕跡でしょうか?

図10 Proxyサーバのアクセスログ
図10 Proxyサーバのアクセスログ

ご覧の通り、Proxyサーバのログには様々な情報が記録されますが、インシデント検知の際に特に注目すべき項目は、「接続先URL」と「UserAgent」です。


2

「接続先URL」の分析

標的型攻撃においては、PCに感染したマルウェアがProxyサーバ経由でC&Cサーバに接続を試みることがありますが、このような場合、Proxyログの「接続先URL」にはC&Cサーバのアドレスが記録されることになります。このため、Proxyログの接続先URLを定期的にチェックすることで、マルウェアによる不正通信を発見できる可能性があります。

具体的な手順は次の通りです。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには・・・

会員登録をすると自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

ログ分析/【第5回】ログ分析の勘所(Proxyサーバ編)」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ログ分析」関連情報をランダムに表示しています。

ログ分析」関連の製品

Web対応電子帳票システムe-COOD 【日商エレクトロニクス】 データベース可視化ソリューション MaxGauge(マックスゲージ) 【日本エクセム】 Webフィルタリングソフト InterSafe WebFilter 【アルプス システム インテグレーション】
電子帳票システム その他運用管理関連 フィルタリング
Web対応の電子帳票システム。セキュリティ強化やワークフローなどオフィスのペーパーレス化を推進してきた日商エレクトロニクスのノウハウが盛り込まれている。 データベースやアプリケーションサーバの詳細な稼働情報、セッション、SQLの実行履歴を可視化できるソフトウェア。すべてのパフォーマンスデータを最小限の負荷で収集。 Webの閲覧やSNS、Webメール等の利用を規制・管理するソフトウェア。携帯キャリア独占の高品質データベースと使いやすさにこだわったログ分析機能を搭載。

ログ分析」関連の特集


昨年の「内部関係者」による国内最大規模の情報漏洩事件はまだ記憶に新しいはず。ログ管理で不正行為を検知…



「SDSってどんなシーンで使えるの!?」「1つのベンダがいくつもSDS製品を提供してるけど何が違うの…



ビッグデータ活用の必要性を感じている企業は、まだまだごく一部にとどまる。そうした認識を持たれている方…


ログ分析」関連のセミナー

Zabbixを中心としたクラウド+オンプレミス統合運用効率化 【オープンソース活用研究所/Zabbix Japan/SRA OSS/インフォコム/ヴィンクス/エクイニクス・ジャパン】  

開催日 3月8日(水)   開催地 東京都   参加費 無料

【Zabbixのメリット】Zabbixは他のツールと柔軟に連携できる特徴を持ち、エコシステムを構築しながら、監視だけではなく統合運用全体の中核となりつつあります…

巧妙化する標的型攻撃に必要な対策とは 【主催:アシスト 】  

開催日 4月25日(火)   開催地 東京都   参加費 無料

標的型攻撃を完全に"防御"することは難しいため、マルウェアに侵入されることを前提とした多重のデータ保護(内部対策)や、マルウェアが組織内に存在するか否か、存在す…

巧妙化する標的型攻撃に必要な対策とは 【主催:アシスト 】  

開催日 3月8日(水)   開催地 東京都   参加費 無料

標的型攻撃を完全に"防御"することは難しいため、マルウェアに侵入されることを前提とした多重のデータ保護(内部対策)や、マルウェアが組織内に存在するか否か、存在す…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

ログ分析/ 【第5回】ログ分析の勘所(Proxyサーバ編)」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ログ分析/ 【第5回】ログ分析の勘所(Proxyサーバ編)」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30008880


IT・IT製品TOP > 中堅中小企業 > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ