ネットワーク環境に対する攻撃を検出することは、現代のITにとって不幸な必要事項となっています。サイバー犯罪者は、なんとかしてネットワークに侵入しようと労力を惜しむことなく日々励んでいるので、損害が発生する前にこれらのアクティビティを感知することが極めて重要です。
システムアクティビティをしっかり監視して、サイバー攻撃を防ぐことは、非常に困難で費用もかかると思われがちですが、そう思う人にとって、いいニュースがあります。それほど難しくなく、コストも高くない方法が存在します。ネットワーク攻撃を成功させないよう阻止するために、まず必要なのは可視性です。Syslog を使用して可視性を高め、悪意あるアクティビティを検出するためのヒントを紹介します。
包括的な警戒
Syslog は、基本的にはシステムメッセージを記録するスタンダードです。実際には、これらのメッセージを抽象化し、システムからソースソフトウェアを分離して、全体的な視点で分析し、保存します。環境内の詳細でローレベルの通信をより柔軟にハイレベルでコントロールすることを目指します。
インフラストラクチャを監視しようとする場合、ログメッセージを生成するデバイスの数だけでも圧倒されるほど膨大です。プリンタ、デスクトップ、サーバー、ストレージ、ネットワーク・アプライアンスがすべて暗号化されたログを大量に生成するので、まずどこから始めればいいのかと、途方に暮れてしまうこともあるでしょう。
大切なのは、可視性の向上です。 ロギング環境を最大限度可視化しようとするなら、集中管理できるログリポジトリを展開する必要があります。環境から生じるすべてのシステムメッセージを動的に管理、組織化するためです。システムログの収集と分析は、リアルタイムで問題を解決するのに役立つだけでなく、起こり得る脅威を予測するために必要な情報を収集することにもつながります。
ここではリモートロギングサーバーのセットアップの詳細には触れませんが、プロセスは簡単です。初期化したら、重要なデバイスの ~/etc/syslog.conf~ 設定ファイルを編集して、新しく作成したリポジトリを指すようにするだけです。Syslog メッセージはプレーンテキストで送信されるため、ログの送信は SSH(通常はポート514)でトンネリングすることが推奨されます。
悪意あるアクティビティを探索
システムメッセージが集中的に一か所にうまく蓄積されたら、次の論理的なステップは、メッセージを自動的に分析する方法を設定することです。メッセージにはすべてファシリティ(ソースシステム/デバイス)と重大度のタグが付けられており、メッセージを自動的にソートするのは簡単です。自社でスクリプトを作成するか、サードパーティーのログシステムを使用して、ルーターやスイッチなどのネットワーク・アプライアンスからのログをフィルタ処理することによって、ドロップしたパケット、疑わしいIP、ポートスキャナー、その他の悪意あるアクティビティの兆候を検出することができます。
その後、パケットフラッドや疑わしいIPなど、内容を記述するメッセージを自動的に通知するようなトリガーを設定し、可能な場合は解決のアクションも自動的に実行できるように設定します。これらのトリガーは、通常サードパーティーのログアナライザには組み込まれており、電子メール、電話、テキストメッセージなどで適切な担当者に警告できます。さらに、攻撃に対応する解決策(IPブロッキング、ポートスイッチング、ファイアウォールの変更など)を即座に実行することもできます。
優先順位付けが重要
このようなソリューションの有効性は、その設定次第です。各デバイスまたはファシリティに優先度を割り当てる際には、生成する情報の有用性について慎重に検討してください。たとえば、ルーターよりもファイアウォールからの方がより実用的なメッセージを受け取る可能性が高くなります。一般に、デバイスが外部と面していると、優先度は高くなります。
ログを集約し、溢れるほど集まる syslog メッセージをフィルタリングすると同時に、優先度の高いデバイスの可視性が最も高くなるよう設定してください。つまり、ログ管理ダッシュボード、メール、警告の設定に際して、優先度の高いソースからのメッセージに重点を置き、重大な問題はリアルタイムアラートを発信するようにする必要があります。
ネットワーク環境は、インフラストラクチャを保護するために必要な重要な情報を、syslog メッセージの形ですでに生成していると考えられます。必要なのは、組織化して可視性を高めることです。自動分析のためにシステムメッセージを中央リポジトリに集約して自動分析を行うことで、被害が発生する前に悪意あるアクティビティを検出できる可能性が高くなります。
Log Management が備わった WhatsUp Gold は、無料でお試しいただけます。