【第5回】ログ分析の勘所(Proxyサーバ編)

この記事をtweetする このエントリーをはてなブックマークに追加

2016/05/11

年金機構の事件に学ぶ効果的なインシデント対応

自己紹介
シーティーシー・テクノロジー株式会社 川崎 一人
主な経歴
SIベンダーにて、インフラ設計・構築や新規ネットワークソリューション開発に従事。その後、CTCテクノロジーにてITエンジニア向け研修サービスのインストラクターを担当。PaloAlto Networks…

【第5回】ログ分析の勘所(Proxyサーバ編)

インシデント対応のための体制(CSIRT)やセキュリティ対策等の準備が完了すると、いよいよ運用フェーズに入ります。運用フェーズでは、インシデントの兆候をいち早く発見するため、サーバやUTM等のログを監視・分析する必要がありますが、「ログの種類が多すぎて、分析対象が絞り込めない!」「どんなログがインシデントの痕跡なのか分からない!」といった問題を抱えている方も多いのではないでしょうか?

そこで今回のコラムでは、インシデント検知に役立つログ分析のポイントについて紹介します。


1

Proxyサーバのログに残るインシデントの痕跡

数あるログの中で、インシデント(特に標的型攻撃)の検知・分析に最も有用なのがProxyサーバのログです。Proxyログには通常、社員や職員のWebアクセス履歴が記録されますが、この中にマルウェアによる不正通信の痕跡が含まれている可能性があります。

具体例として、図10をご覧下さい。
こちらは、とある組織におけるProxyサーバ(ソフトウェア名:Squid)のアクセスログですが、どの部分(行番号)がマルウェアによる不正通信の痕跡でしょうか?

図10 Proxyサーバのアクセスログ
図10 Proxyサーバのアクセスログ

ご覧の通り、Proxyサーバのログには様々な情報が記録されますが、インシデント検知の際に特に注目すべき項目は、「接続先URL」と「UserAgent」です。


2

「接続先URL」の分析

標的型攻撃においては、PCに感染したマルウェアがProxyサーバ経由でC&Cサーバに接続を試みることがありますが、このような場合、Proxyログの「接続先URL」にはC&Cサーバのアドレスが記録されることになります。このため、Proxyログの接続先URLを定期的にチェックすることで、マルウェアによる不正通信を発見できる可能性があります。

具体的な手順は次の通りです。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには・・・

会員登録をすると自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ
関連キーワード

ログ分析/【第5回】ログ分析の勘所(Proxyサーバ編)」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ログ分析」関連情報をランダムに表示しています。

ログ分析」関連の製品

サイトアンパイア 【アルプス システム インテグレーション+他】 楽天証券が採用したセキュリティログ分析基盤Splunk…… 【マクニカネットワークス】 データベース可視化ソリューション MaxGauge(マックスゲージ) 【日本エクセム】
フィルタリング データ分析ソリューション その他運用管理関連
ルータ一体型のURLフィルタリングサービス。ルータでの一括設定/管理で、運用の手間やコストを削減。簡単な設定と分かりやすいカテゴリで中小規模オフィスに最適。 楽天証券が採用したセキュリティログ分析基盤Splunk その効率的導入方法とは? データベースやアプリケーションサーバの詳細な稼働情報、セッション、SQLの実行履歴を可視化できるソフトウェア。すべてのパフォーマンスデータを最小限の負荷で収集。

ログ分析」関連の特集


MDMに付随した機能として捉えられてきたMCMだが、その特徴的な機能や導入メリットはどのような点にあ…



待ったなし!来年1月に迫ったマイナンバー制度の実施。安全管理措置は大きな課題だが、IT資産管理ツール…



なにかと話題の「ビッグデータ」。過大な投資をせず、ビッグデータからの恩恵が得られるように、考え方を整…


ログ分析」関連のセミナー

VR、モバイル学習、ログ分析によるセールス現場改革の最新動向 【インフォテリア】 締切間近 

開催日 12月16日(金)   開催地 東京都   参加費 無料

最近では、360度カメラを利用したVRやモバイル学習など最新技術の発達により、現場へ出向かなくても現場の状況を把握したりお客様にお伝えしたりできつつあります。本…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

ログ分析/ 【第5回】ログ分析の勘所(Proxyサーバ編)」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ログ分析/ 【第5回】ログ分析の勘所(Proxyサーバ編)」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30008880


IT・IT製品TOP > 中堅中小企業 > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ