攻撃検知・痕跡確認対応度チェックシート 本資料について 本資料は、「サイバーレスキュー隊(J-CRAT)分析レポート 2016」の内容にもとづき、 「攻撃検知や痕跡確認ができる状態にあるか」を自己点検いただくためのチェックシート です。攻撃検知や痕跡確認ができる状態とは、攻撃の検知や痕跡確認に、必要なログが適切 に取得されており、そのログを適切に取り扱う手順が確立されている事を指しています。こ のチェックシートの各質問に答えていただくことで、これらの準備が整っているかを判断 する目安(対応度)のひとつとすることができます。自組織のシステム構成に応じて改訂し、 ご活用ください。 チェックする対象は以下の 8 つからなります。 ・ ログの整合性 ・ ウイルス対策ソフトウェア ・ プロキシサーバ ・ Firewall ・ メールサーバ ・ Active Directory ドメインコントローラ ・ DHCP サーバ ・ SNMP マネージャー シート活用対象者 システム管理者様を想定していますが、サーバ構築内容等の技術的な内容を含んでいま すので、不明な場合は、構築に関わられたベンダー様等に確認されることをお奨めします。 使い方 チェック欄は「1:わからない、2:いいえ、3:はい」の 3 つの答えを想定しています。 チェックシート記入後は、まずは「わからない」を減らすことをご検討ください。自組織の 状態を把握することが最も優先度が高いと思われます。次に、 「いいえ」のを減らすための 対策をご検討ください。 「いいえ」の箇所は、調査や確認に時間がかかる場合や、調査でき ない可能性があると思われます。 「はい」の箇所については、他の対象サーバと同期が取れ ているかを見比べていただき、取れていないところは対策をご検討ください。 なお、いくつかの設問では、期間等を問うものがありますが、 「はい」の場合には、[ ] や空きスペースに記入し、その値を他サーバの関連設問での値を見比べて、整合性があるか を確認してください。 ログの整合性 No 1 内容 チェック PC、サーバ、Firewall、ネットワーク機器で時刻同期は取れていますか。 1 2 3 [参考] Active Directory 導入の場合は、ドメイン参加サーバおよび PC は時刻同期されて います。 2 プロキシサーバと Firewall のログ保存期間は同じ期間となっていますか。 1 2 3 3 関連サーバ(ActiveDirectory ドメインコントローラ、DHCP サーバ等)のログ保 1 2 3 存期間は同じ期間となっていますか。 ポイント:時刻が正確であること、ログ間で時間の同期が取れていることは攻撃痕跡を調べ る際には大変重要です。 「いいえ」の場合は、ぜひ組織内で NTP サーバの準備と時刻同期 設定をお奨めします。 ウイルス対策ソフトウェア No 内容 チェック 1 脅威検知時に利用者へ通知をおこなう設定になっていますか。 1 2 3 2 脅威検知時に通知される脅威の種類は把握していますか。 1 2 3 [例] リアルタイムスキャン・定時スキャン・メール・ネットワーク脅威 3 利用者に脅威履歴ログの確認方法を伝えていますか。 1 2 3 4 利用者 PC で脅威検知があった場合、管理者への通知設定はされていますか。 1 2 3 5 利用者 PC での脅威検知を定期的に確認していますか。 1 2 3 ポイント:ウイルス対策ソフトの脅威通知は、攻撃に関する情報源となる事があります。管 理者が気付くことも重要ですが、利用者自身に気付いてもらうことも重要です。 プロキシサーバ No 内容 チェック 1 プロキシサーバのログはアクセスログ(許可)を取得していますか。 1 2 3 2 プロキシサーバのログはブロックログ(拒否)を取得していますか。 1 2 3 3 プロキシサーバのログの取得期間はどれくらいですか。 1 2 3 [ 4 プロキシサーバのログはどこに取得されていますか。 1 ] 2 3 [ ] 5 プロキシサーバのログの取得期間が過ぎたものは、別途保存していますか。 1 2 3 6 プロキシサーバのログ内容を確認する方法は手順化されていますか。 1 2 3 7 プロキシサーバのログは外部出力が可能ですか。 1 2 3 8 プロキシサーバのログを外部出力する方法は手順化されていますか。 1 2 3 9 プロキシサーバのログのフォーマットは把握していますか。 1 2 3 10 プロキシサーバのログは下記項目で検索・抽出する事ができますか。 1 2 3 通信先 FQDN 通信先アドレス 通信プロトコル 通信元アドレス 通信発生日付 任意の文字列 11 プロキシサーバのログは外部出力できますか。 1 2 3 12 プロキシサーバは時刻同期していますか。 1 2 3 ポイント:攻撃痕跡調査において、外部通信を発生させたかどうかを判断するには、PC か ら外部への接続要求がどのようなものだったかを確認する必要があります。プロキシサー バは、その要求を直接受けるサーバとなるため、保持している記録は大変重要です。 Firewall No 内容 チェック 1 Firewall のログはアクセスログ(許可)を取得していますか。 1 2 3 2 Firewall のログはブロックログ(拒否)を取得していますか。 1 2 3 3 Firewall のログの取得期間はどれくらいですか。 1 2 3 [ 4 Firewall のログはどこに取得されていますか。 1 ] 2 3 [注意]アプライアンス製品(専用機)では、ディスクが少ないケースがあるので、 [ ] ログ保存はログサーバを別途構築するパターンが多い。 5 Firewall のログの取得期間が過ぎたものは、別途保存していますか。 1 2 3 6 Firewall のログ内容を確認する方法は手順化されていますか。 1 2 3 7 Firewall のログは外部出力が可能ですか。 1 2 3 8 Firewall のログを外部出力する方法は手順化されていますか。 1 2 3 9 Firewall のログのフォーマットは把握していますか。 1 2 3 10 Firewall のログは下記項目で検索・抽出する事ができますか。 1 2 3 通信先 FQDN 通信先アドレス 通信プロトコル 通信元アドレス 通信発生日付 任意の文字列 11 Firewall は時刻同期していますか。 1 2 3 ポイント 1:Firewall はオンプレミスで構築する場合、アプライアンス製品で構成されるこ とが多く、外部にログサーバを構築しなければ、短期保存しかされていない場合があります。 ログが短期しか保存できていない場合は、別途ログサーバの構築をお奨めします。 ポイント 2:プロキシサーバログと Firewall ログは、おおよそ同じ観点での調査をおこな い、この 2 つが合致していることでより攻撃痕跡に関する確実性が増します。できるだけ、 この 2 つのサーバはログの取得内容(アクセスログの取得)と保存期間については、同期を 取ることをお奨めします。 メールサーバ メールサーバは、複数のサーバで構成している場合は、外部から受信するサーバと最終的 にメールボックスを保持するサーバの両方で調査をおこなう場合があります。 No 内容 チェック 1 メールサーバのログは取得していますか。 1 2 3 2 メールサーバのログの取得期間はどれくらいですか。 1 2 3 [ 3 メールサーバのログはどこに取得されていますか。 1 ] 2 3 [ 4 メールサーバのログの取得期間が過ぎたものは、保存するような仕組みになって ] 1 2 3 いますか。 [参考]Linux ベースのよくある値は 1 週間でローテート、4 週間分を保持 5 メールサーバのログ内容を確認する方法は手順化されていますか。 1 2 3 6 メールサーバのログのフォーマットは把握していますか。 1 2 3 7 メールサーバのログは下記項目で検索・抽出する事ができますか。 1 2 3 送信元ホスト 送信者メールアドレス 受信者メールアドレス 送信時間 受信時間 メールサイズ メール件名 添付ファイルの有無 任意の文字列 8 メールサーバのログは外部出力できますか。 1 2 3 9 メールサーバは時刻同期していますか。 1 2 3 ポイント:メールサーバは外部からのメール受信を記録していることから、多くの情報を得 ることができます。メールサーバは組織内で外部と内部のように複数のサーバで構成され ていることも多く、それぞれでログ記録内容が変わるため、注意が必要です。UNIX 系ソフ トウェアで構成されていることも多いため、ログの検索・抽出は、ログ確認の専用ツールで はなく、ログファイルを直接、コマンドや別プログラムで扱うこともあります。 Active Directory ドメインコントローラ WindowsOS 標準をベースに記載しています。ドメインコントローラだけではなく、ファ イルサーバ等の重要な Windows サーバも同様に確認してみてください。 No 1 内容 Windows ログの保存設定はデフォルトから変更していますか。 チェック 1 2 3 1 2 3 [デフォルト値] ※WindowsServer2008R2 2 アプリケーション:20MB 上書き セキュリティ:20MB 上書き システム:20MB 上書き 監査ポリシーの追加等でイベントログの追加設定はしていますか。 [例] ファイルサーバはオブジェクトアクセスの監査を有効にする。 3 Windows ログは外部出力できますか。 1 2 3 4 Windows ログのフォーマットは把握できていますか。 1 2 3 1 2 3 [補足] イベントにはイベント ID という一意の番号が付与されており、その詳細内容は Microsoft 社の Web 等で確認することができます。 5 NTP サーバと時刻同期を行っていますか。 ポイント:Active Directory ドメインコントローラは、認証基盤機能がありますので認証イ ベントは大量に記録されます。攻撃の痕跡を調べる際は、この認証イベントの利用が「正規 かどうか」という判断が必要なことがあります。大量の同一イベントを、ログインアカウン トやログイン元を整理するといった作業が必要になるので、外部出力しての作業がより適 しています。外部出力する手順や文字列検索するといった作業手順を確立する事も重要で す。 DHCP サーバ No 内容 チェック 1 DHCP サーバの IP リースログは取得されていますか。 1 2 3 2 DHCP サーバの IP リースログの取得期間はどれくらいですか。 1 2 3 [ ] 3 DHCP サーバの IP リースログから、いつ、どの PC が、どの IP を利用していた 1 2 3 かを特定する手順は確立されていますか。 4 DHCP サーバのログは外部出力できますか。 1 2 3 5 DHCP サーバは時刻していますか。 1 2 3 ポイント:不審なアクセスを発見した場合、その「PC を特定できる」のは、大変重要な意 味を持ちます。DHCP サーバ機能は、無線アクセスポイントやルータといったネットワー ク機器で実装しているケースもあるため、ログ取得に関して、あまり細かな設定ができない 場合や、ログの外部出力が煩雑といったことが考えられますので、注意が必要です。 参考 本編には記載がありませんが、導入されていることも多い SNMP マネージャー(ネット ワーク管理システム)も、痕跡調査に活用できる情報が記録されている事があります。 SNMP マネージャー No 内容 チェック 1 ネットワーク機器の稼動情報を SNMP マネージャーで取得していますか。 1 2 3 2 SNMP マネージャーの取得範囲はどこまでですか。 1 2 3 [例] [ 3 L3 スイッチ L2 スイッチ Firewall 無線 AP サーバ SNMP マネージャーのログはどこに取得されていますか。 1 ] 2 3 [ 4 SNMP マネージャーのログの保存期間はどれくらいですか。 1 ] 2 3 [ ] 5 ネットワーク機器は時刻同期していますか。 1 2 3 6 SNMP マネージャーは時刻同期していますか。 1 2 3 ポイント:SNMP マネージャーの主目的はネットワーク管理・監視であり、ネットワーク の異常検知のためのシステムですが、トラフィックを記録する機能が備わっているのが一 般的です。よって、攻撃痕跡に関する調査という目的では、感染端末、攻撃想定時間等が判 明している場合、感染端末が利用していたネットワーク経路のトラフィック量と関連付け ることができる可能性があります。 以上
© Copyright 2024 ExpyDoc