ログ
インシデント発生後に、異常を検知するための尺度として利用される通信履歴である。
- ログを記録できる機器は、プロキシサーバ・ファイアウォール(FW)その他、問題中に記述がある機器。
- ログを記録する複数の機器間の時刻同期のために、NTP※プロトコル※を用いて、NTPサーバから正確な時刻を取得する。
※NTP(Network Time Protocol)はコンピューターやネットワーク機器がインターネットを通じて正確な時刻情報を共有するための仕組みである。
※プロトコル(Protocol)とは、コンピュータや通信機器がネットワーク上でデータをやり取りするための「共通のルール・手順・規約」である。 - 時刻を同期させないと、複数の機器のログに記録された事象の時系列での把握がしにくく、 前後関係がわかりにくくなる。
- ログ収集システムにより、各機器のログを集約し管理する。
- 攻撃者が管理者権限を用いて、ログを改ざん・消去した形跡はないかを確認する。
取得すべきログは、利用者・管理者による情報システムの操作記録である。
具体的には、以下の通りである。
- 利用者ID。だれがしたか。
- ログインの日時。いつログインしたか。
- ログアウトの日時。いつログアウトしたか。
- アクセス成功の記録。いつ何を対象にアクセス成功したか。
- アクセス失敗の記録。いつ何を対象にアクセス失敗したか。
- 特権操作の記録。管理者権限で、 いつどのような操作をしたか。
- 無許可のアクセス。未認証の状態で、いつ何をしようとしたか。
(参考)
情報処理教科書 出るとこだけ!基本情報技術者[科目B]第4版 橋本 祐史 (著) 翔泳社
コメント