【第5回】ログ分析の勘所(Proxyサーバ編)

この記事をtweetする このエントリーをはてなブックマークに追加

2016/05/11

年金機構の事件に学ぶ効果的なインシデント対応

自己紹介
シーティーシー・テクノロジー株式会社 川崎 一人
主な経歴
SIベンダーにて、インフラ設計・構築や新規ネットワークソリューション開発に従事。その後、CTCテクノロジーにてITエンジニア向け研修サービスのインストラクターを担当。PaloAlto Networks…

【第5回】ログ分析の勘所(Proxyサーバ編)

インシデント対応のための体制(CSIRT)やセキュリティ対策等の準備が完了すると、いよいよ運用フェーズに入ります。運用フェーズでは、インシデントの兆候をいち早く発見するため、サーバやUTM等のログを監視・分析する必要がありますが、「ログの種類が多すぎて、分析対象が絞り込めない!」「どんなログがインシデントの痕跡なのか分からない!」といった問題を抱えている方も多いのではないでしょうか?

そこで今回のコラムでは、インシデント検知に役立つログ分析のポイントについて紹介します。


1

Proxyサーバのログに残るインシデントの痕跡

数あるログの中で、インシデント(特に標的型攻撃)の検知・分析に最も有用なのがProxyサーバのログです。Proxyログには通常、社員や職員のWebアクセス履歴が記録されますが、この中にマルウェアによる不正通信の痕跡が含まれている可能性があります。

具体例として、図10をご覧下さい。
こちらは、とある組織におけるProxyサーバ(ソフトウェア名:Squid)のアクセスログですが、どの部分(行番号)がマルウェアによる不正通信の痕跡でしょうか?

図10 Proxyサーバのアクセスログ
図10 Proxyサーバのアクセスログ

ご覧の通り、Proxyサーバのログには様々な情報が記録されますが、インシデント検知の際に特に注目すべき項目は、「接続先URL」と「UserAgent」です。


2

「接続先URL」の分析

標的型攻撃においては、PCに感染したマルウェアがProxyサーバ経由でC&Cサーバに接続を試みることがありますが、このような場合、Proxyログの「接続先URL」にはC&Cサーバのアドレスが記録されることになります。このため、Proxyログの接続先URLを定期的にチェックすることで、マルウェアによる不正通信を発見できる可能性があります。

具体的な手順は次の通りです。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには・・・

会員登録をすると自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

ログ分析/【第5回】ログ分析の勘所(Proxyサーバ編)」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ログ分析」関連情報をランダムに表示しています。

ログ分析」関連の製品

サイトアンパイア 【アルプス システム インテグレーション+他】 動画ソリューション PIP-Maker 【ソフトバンク コマース&サービス】 Webフィルタリングソフト InterSafe WebFilter 【アルプス システム インテグレーション】
フィルタリング その他情報共有システム関連 フィルタリング
ルータ一体型のURLフィルタリングサービス。ルータでの一括設定/管理で、運用の手間やコストを削減。簡単な設定と分かりやすいカテゴリで中小規模オフィスに最適。 PowerPointで作成したプレゼンテーション画面に、音声合成で商品やサービスの説明を行う3Dアバターを組み合わせて、訴求力の高い動画コンテンツを作成できる。 Webの閲覧やSNS、Webメール等の利用を規制・管理するソフトウェア。携帯キャリア独占の高品質データベースと使いやすさにこだわったログ分析機能を搭載。

ログ分析」関連の特集


待ったなし!来年1月に迫ったマイナンバー制度の実施。安全管理措置は大きな課題だが、IT資産管理ツール…



今や“ログ管理”は企業規模を問わず、発注元などから求められる要件になってきている。最近ではログ収集の…



 前々回・前回と、情報漏洩の原因の大部分を占める「内部からの情報持ち出し」に対して効果を発揮する注目…


ログ分析」関連のセミナー

巧妙化する標的型攻撃に必要な対策とは 【主催:アシスト 】  

開催日 7月26日(水)   開催地 東京都   参加費 無料

巧妙化する標的型攻撃を完全に"防御"することは難しいため、マルウェアに侵入されることを前提とした多層防御が必須となります。ただセキュリティ対策にかけられる資源は…

巧妙化する標的型攻撃に必要な対策とは 【主催:アシスト 】  

開催日 8月29日(火)   開催地 東京都   参加費 無料

巧妙化する標的型攻撃を完全に"防御"することは難しいため、マルウェアに侵入されることを前提とした多層防御が必須となります。ただセキュリティ対策にかけられる資源は…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

ログ分析/ 【第5回】ログ分析の勘所(Proxyサーバ編)」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ログ分析/ 【第5回】ログ分析の勘所(Proxyサーバ編)」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30008880


IT・IT製品TOP > 中堅中小企業 > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ