2017年2月21日火曜日

"EventReporter" 1本から始める標的型攻撃ログ管理対策!

弊社で販売中のAdiscon製品には、WinSyslog 以外にWindowsイベントログの収集/リアルタイム処理する EventReporter があります。                       
実は、このEventReporterがスグレもので、国内ではWinSyslogの約5倍の導入実績があるのです。
WindowsイベントログをSyslog変換して転送するツールならフリーウェアでもありますが、なぜでしょう?今日は、その理由についてお話したいと思います。


その1➤スタンドアロンでイベントログを収集し、WinSyslogのようなフィルタリングやアクションが実行できる!
EventReporterのアクション
 EventReporterはイベントログを収集保存するだけでなく、多彩なアクション機能がありますので、例えば次のことがスタンドアロンでできてしまいます。
しかも"定価\27,800/1ライセンス"と、対費用効果はバツグンです!
注視すべきイベントをリアルタイムに検知してEメール通知                       
認証/監査ログのIDのみ抽出して特定フォルダにファイリング                       
特定のイベントを抽出しSyslog転送
解析用にフォーマットをカスタマイズして出力
脅威のイベント発生時に外部プログラムを実行
もちろん、Syslog転送機能もありますが、複数端末のログを一元管理したい場合を除き、わざわざSyslog変換して転送する必要はありません。
むしろSyslogに変換してしまうと、イベントIDイベントユーザーレベルもすべてSyslogメッセージに入ってしまうので、Syslogサーバー側では "メッセージ中のキーワード"で抽出するしかなく、より負荷がかかります。

新タイプのイベントログで使用可能なフィルタ

その2➤Vista以降の新しいイベントログ形式に対応!
イベントログにはWindows Server2003,XP以前からある、旧タイプのイベント形式とVista以降の新タイプの形式があり、両者を比較すると、フィールドが別のところに移動していたり、イベントIDやイベントチャンネル種類も大きく異なります。新タイプに対応していないと、認証ログや監査ログも正しく収集できません。
ちなみに、旧タイプのイベントチャンネルはたったの10種類ですが、(右図)
EvenRerpoterで収集できる新タイプのイベントチャンネルはデフォルトで291種類もあります!
 その3➤WinSyslog との連携によりログの一元管理がスムーズ!
EventReporterWinSyslog エンタープライズSETP転送できます。
SETP転送では、イベントログ生成元のシステムと同じ状態でセキュアに転送します。
つまり、イベントIDイベントユーザーレベルなどの情報も共有され、WinSyslogでもこれらのプロパティが使用できるようになります。
SETPについて:
SETP(Simple Event Transfer Protocol)は、Adiscon社独自のTCPをベースとした通信プロトコルで、Adiscon製品間の通信をより確実に実行します。
EventReporter製品ページ:
WinSyslog製品ページ:
30日間の評価版がダウンロードできますので、ぜひお試しください。