ログ解析における「5つの過ち」

, , , ,

ログ解析における「5つの過ち」

Posted on 2016年9月13日火曜日14:28 by
IT市場の拡大に伴い、それぞれの組織では、脅威の増加に対しより多くのセキュリティソリューションを展開しております。全てのデバイスはおびただしい量の監査レコードやアラートを出力し、多くの組織ではログの収集と解析を繰り返しています。



しかしログ収集と解析インフラの計画や導入において、そのようなシステムが何をもたらすかを良く知らないことがしばしばあります。これはログ解析に対する間違った常識に原因があります。 

ここでは監査ログやセキュリティインフラが生成するセキュリティ記録の解析で組織が犯す典型的な過ちを説明します。



その1:解析されないログ

まず明白で危険な事を取り上げます。ログの収集と保存は重要です。しかしそれは目的に達する手段に過ぎません。コンピュータ環境で何が起こっているか知り、それに対応するためのものです。技術的にログを収集できる体制ができたら、監視や評価を継続し、問題に対して行動を起こし可能な対策をとる必要があります。
ある組織では正しい方向へ半歩進んでいます。彼らは重要なインシデントの発生後にログを評価します。これではログ解析の反応効果を得られますが、事前に対応する効果を得ることができません。いつ問題が発生するかを知ることはできません。

ログをプロアクティブに解析するとセキュリティインフラの価値をよく認識することが可能です。 たとえば、ネットワーク侵入検知システム(NIDS)が価格相当の価値をもたらさないという不満がたくさんあります。その大きな原因は、そのようなシステムでは誤検知が多く出力の信頼性が無いと思われ、その対応が不十分になります。NIDSログとファイアーウォールログやサーバー監査履歴、ターゲットの脆弱性やネットワークサービス情報と関連付けると、新たな検出能力が得られます。ある組織では規則的にログファイルや監査履歴を調査することが義務付けられていることもあります。

 

その2: 短いログ保存期間

このような場合、自分では監視と調査に必要な十分なログを持っているつもりですが(保存用ハードウェアのコストを削減するため)、保存ポリシーのためにログを削除した後に発生したインシデントで、自分が大きな過ちを犯したことに気づきます。実際のインシデントは、不審な現象や不正使用がが発見後、かなり時間がたってから発見されます。
コストをかけたくなければ、保存を2種類に分けます。短期のオンライン保存と長期のオフライン保存です。たとえば古いログをテープにアーカイブすることは低価格のオフラインストレージの利用になりますが、将来の解析データとしては使うことは可能です。

 

その3:正規化されないログ

正規化とは何でしょうか。それは、ログの全ての詳細なオリジナル情報を失わずにUnixやWindowsのような異なるログデータソースを比較し関連付けることができるように統一フォーマットに変換することです。異なるアプリケーションやセキュリティソリューション間ではログフォーマットの統一化の問題があります。ある場合はSNMPが使われ、ある場合は古典的なUnix Syslog形式が好まれます(弊社注:Kiwi Syslog Daemon(現Kiwi Syslog Server)はSMNPをSyslogフォーマットで受信することが可能です)。
標準的なログフォーマットが欠如しているため、ログ解析のために異なる専門知識が必要です。Syslogフォーマットを理解する全てのUnix管理者が,あいまいなWIndowsイベントログレコードを理解できるわけではありません。逆のこともいえます。
セキュリティシステムではもっとひどい状況です。なぜなら、人々は限られた数のシステムの経験はありますが異なるデバイスの大量の出力は理解できません。必然的に、解析を行い、関連付け、結論を下すためにはためにはセキュリティ関連デバイスの全てのメッセージに適用できる共通フォーマットが必要になります。

 

その4:優先付けのできていないログ記録

ログが収集され、十分な時間の保存ができ、そして正規化できたら問題はクリアされますか? ログがあったとしてどこからはじめますか?サマリーから?、最新のイベントから?それともその他ですか?
第4の過ちははログレコードの優先順位付けが無いことです。あるシステムアナリストは現実的な優先順位付けをしないために大量のログデータ解析にギブアップします。
効果的な優先順位付けはストラテジーの定義から開始します。「何にもっとも注意すべきか?」、「この攻撃は成功したか?」、「以前にこの問題が発生したか?」などの質問に答えるとわかりやすくなります。このような質問を考案すると毎日収集したギガバイトを超えるログデータの優先順位設定ストラテジーを容易に行えます。

 

その5:悪いイベントだけを探す

非常に先進的でセキュリティに注意深い組織であっても、時々この落とし穴にはまってしまいます。それは非常に陰険なやり方であるだけでなくログ解析の価値を落としています。悪いことだけを知りたいという組織で起こる問題です。
実際、大部分のオープンソースツールやいくつかの商用ツールは、ログ全体から悪い内容、攻撃シグネチャ、危険なイベントを探すようにフィルターを設定します。たとえばSawtchはフリーのログ解析ツールであり強力ではありますが、ログファイル中の悪い内容の検査のみを行い、その他を行いません。
しかし、ログデータの価値を完全に利用するには次のレベルである、ログデータマイニングが必要です。この段階では何を発見すべきかという前提なしで、ログファイル中ふ含まれる興味深い事柄を発見することが可能です。たとえば汚染や感染したシステム、新奇な攻撃、内部の不正利用、知的所有権の侵害などの発見です。
全ての悪意のある行動を事前に知ることが可能であると確実に言えますか?ひとつの方法は全ての既知の良いイベントリストを作成し残りを探すことです。ひとつの解決のようですが、そのような仕事は面倒であり、またあまり感謝されることがありません。全ての良いイベントリストを作成することはシステムやネットワークでの悪いイベントリストを作成することよりはるかに困難です。
もっと知的な取り組みが必要です。いくつかのデータマイニング(データベースからの知的発見とも言います)と可視化のツールを使えば大きな成果を収めることができます。ログデータ中の真の異常、「既知の悪いイベント」と「未知の良いイベント」を発見します。
以上の過ちを避けることはログ解析をより高度なレベルで行うことになり、組織のセキュリティとロギングインフラの価値を高めます。
効果的な優先度付けはストラテジー(戦略)の定義からスタートします。”最も注意すべきことは何ですか?”、”この攻撃は成功していますか?”、”同じことが以前起こっていますか?”という質問に答えることは、ストラテジーの決定に役立ちます。これらの質問を考えることはストラテジーの立案に役立ち、毎日収集するギガバイト旧のログデータ解析を容易にします。




http://www.jtc-i.co.jp/product/sawmill/sawmill.html
https://www.jtc-i.co.jp/contact/scontact.php