【第5回】ログ分析の勘所(Proxyサーバ編)

この記事をtweetする このエントリーをはてなブックマークに追加

2016/05/11

年金機構の事件に学ぶ効果的なインシデント対応

自己紹介
シーティーシー・テクノロジー株式会社 川崎 一人
主な経歴
SIベンダーにて、インフラ設計・構築や新規ネットワークソリューション開発に従事。その後、CTCテクノロジーにてITエンジニア向け研修サービスのインストラクターを担当。PaloAlto Networks…

【第5回】ログ分析の勘所(Proxyサーバ編)

インシデント対応のための体制(CSIRT)やセキュリティ対策等の準備が完了すると、いよいよ運用フェーズに入ります。運用フェーズでは、インシデントの兆候をいち早く発見するため、サーバやUTM等のログを監視・分析する必要がありますが、「ログの種類が多すぎて、分析対象が絞り込めない!」「どんなログがインシデントの痕跡なのか分からない!」といった問題を抱えている方も多いのではないでしょうか?

そこで今回のコラムでは、インシデント検知に役立つログ分析のポイントについて紹介します。


1

Proxyサーバのログに残るインシデントの痕跡

数あるログの中で、インシデント(特に標的型攻撃)の検知・分析に最も有用なのがProxyサーバのログです。Proxyログには通常、社員や職員のWebアクセス履歴が記録されますが、この中にマルウェアによる不正通信の痕跡が含まれている可能性があります。

具体例として、図10をご覧下さい。
こちらは、とある組織におけるProxyサーバ(ソフトウェア名:Squid)のアクセスログですが、どの部分(行番号)がマルウェアによる不正通信の痕跡でしょうか?

図10 Proxyサーバのアクセスログ
図10 Proxyサーバのアクセスログ

ご覧の通り、Proxyサーバのログには様々な情報が記録されますが、インシデント検知の際に特に注目すべき項目は、「接続先URL」と「UserAgent」です。


2

「接続先URL」の分析

標的型攻撃においては、PCに感染したマルウェアがProxyサーバ経由でC&Cサーバに接続を試みることがありますが、このような場合、Proxyログの「接続先URL」にはC&Cサーバのアドレスが記録されることになります。このため、Proxyログの接続先URLを定期的にチェックすることで、マルウェアによる不正通信を発見できる可能性があります。

具体的な手順は次の通りです。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには・・・

会員登録をすると自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

ログ分析/【第5回】ログ分析の勘所(Proxyサーバ編)」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ログ分析」関連情報をランダムに表示しています。

ログ分析」関連の製品

動画ソリューション PIP-Maker 【ソフトバンク コマース&サービス】 データベース可視化ソリューション MaxGauge(マックスゲージ) 【日本エクセム】 Web対応電子帳票システムe-COOD 【日商エレクトロニクス】
その他情報共有システム関連 その他運用管理関連 電子帳票システム
PowerPointで作成したプレゼンテーション画面に、音声合成で商品やサービスの説明を行う3Dアバターを組み合わせて、訴求力の高い動画コンテンツを作成できる。 データベースやアプリケーションサーバの詳細な稼働情報、セッション、SQLの実行履歴を可視化できるソフトウェア。すべてのパフォーマンスデータを最小限の負荷で収集。 Web対応の電子帳票システム。セキュリティ強化やワークフローなどオフィスのペーパーレス化を推進してきた日商エレクトロニクスのノウハウが盛り込まれている。

ログ分析」関連の特集


標的型サイバー攻撃など従来の境界防御の限界が見えてきた今、セキュリティに求められる新たな姿とは?アナ…



標的型攻撃の対策には多層防御と言われるが、限りある予算に悩むセキュリティ担当者は多い。有効な手段とは…



グループウェアに備わる会議室予約機能とは一味違う。専用端末を使って人感センサーからログ分析までを可能…


ログ分析」関連のセミナー

標的型攻撃対策の見直しポイント発見セミナー 【主催:アシスト 】  

開催日 12月15日(金)   開催地 東京都   参加費 無料

巧妙化する標的型攻撃には、マルウェア侵入を前提とした多層防御が必要です。多層防御には、何を実施し何を実施しないかの取捨選択が常に必要となります。本セミナーでは、…

標的型攻撃対策の見直しポイント発見セミナー 【主催:アシスト 】  

開催日 10月4日(水)   開催地 東京都   参加費 無料

巧妙化する標的型攻撃には、マルウェア侵入を前提とした多層防御が必要です。多層防御には、何を実施し何を実施しないかの取捨選択が常に必要となります。本セミナーでは、…

標的型攻撃対策の見直しポイント発見セミナー 【主催:アシスト 】  

開催日 11月22日(水)   開催地 東京都   参加費 無料

巧妙化する標的型攻撃には、マルウェア侵入を前提とした多層防御が必要です。多層防御には、何を実施し何を実施しないかの取捨選択が常に必要となります。本セミナーでは、…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

ログ分析/ 【第5回】ログ分析の勘所(Proxyサーバ編)」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ログ分析/ 【第5回】ログ分析の勘所(Proxyサーバ編)」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30008880


IT・IT製品TOP > 中堅中小企業 > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ