2021年1月5日火曜日

【安価で簡単に構築できる! Windowsログオン失敗を検知するシステムのご紹介】

 

 毎年コンピューター不正アクセスのインシデント数は増えています。それに伴い「コンピューター不正アクセス対策費用」も増加しています。

このような状況の中で頭を抱えている経営者やIT管理者が多くいるのではないでしょうか。

今回は、そのような方々に非常に安価で簡単に構築できるWindowsマシンのログオン失敗を自動的にリアルタイムに検知するシステムの情報をご提供したいと思います。

 

 会社のセキュリティを掻い潜って社内のネットワークに侵入した攻撃者は、Windowsマシン(Client/Server)にパスワード解析を試みてアカウントにログオンしようとします。

可能性のあるパスワードの組み合わせを端から試すいわゆるブルートフォース攻撃を仕掛けてきます。

もし、知らない間にアカウントに不正ログオンされると、次に管理者権限を取得され顧客データ、取引先情報、カード情報など非常に重要な機密データを搾取される危険性が高まります。

そこで、非常に重要なのはWindowsマシンのアカウントに不正にログオンされる前に検知する事です。

ブルートフォース攻撃の兆候は、短時間で大量のログオン失敗イベントが生成されることです。

当然、セキュリティ管理者としては、その攻撃をリアルタイムで検知し、通知するしくみが欲しいところだと思います。

 

 弊社取り扱い製品のAdiscon EventReporterWinSyslogは、非常に安価で簡単に構築でき、Windowsマシンのログオン、ログオフを一元管理ができるシステムを提供します。

関連のイベントログを保存することに加えて、例えば、ログオン失敗イベントが4回発生したら即座にセキュリティ管理者にアラートメールを送信する事ができます。

この自動アクションによってセキュリティ管理者は、攻撃を事前に防ぐ対応が可能となります。

 

 

Windowsマシン(Client/Server)ログオン失敗イベントを検知しセキュリティ管理者にアラートメールを送信する仕組み】

 Windowsマシンのイベントビューア上に出力されるイベントID4625は、ローカルコンピューター上で発生したログオン失敗イベントを記録しています。

 

スクリーンショット①:ローカルコンピューター上で発生したログオン失敗イベントID4625Windows Server 2012 R2イベントログサンプル

 

つまり、自動的に「ログオン失敗イベントID4625」を即座に検知してセキュリティ管理者にアラートメールを送信する事によって攻撃を事前に防ぐ対応が可能となります。

 

 Adiscon EventReporterは、各Windowsマシン(Server/Client)にインストールしエージェントとしてイベントログをSyslogに変換してWinSyslogシスログサーバーにほぼリアルタイムに転送処理するソフトウェア製品です。

 

以下のsyslogは「スクリーンショット」の「ログオン失敗イベントID4625のイベントログ」をEventReportersyslogに変換して送信し、WinSyslogで受信したsyslogのサンプルです。

赤くハイライトしている部分に「ログオン失敗イベントID4625」が記載されています。

 

2020-12-22 14:29:20 Local0.Notice 127.0.0.1 Dec 22 14:29:19 WIN-69HO9E1V7US EvntSLog: Security,Microsoft-Windows-Security-Auditing,2020-12-22 14:29:19,4625,ログオン,情報,失敗の監査,N\A,WIN-69HO9E1V7US,アカウントがログオンに失敗しました。 (省略) これは、セッション キーが要求されなかった場合は 0 になります。』

 

  WinSyslogシスログサーバーは、フィルター機能でEventReporterから送信されたsyslogのメッセージにある「イベントID4625」をフィルターとして設定し、アクション機能でセキュリティ管理者にメールを送信するように設定しておくと上述のサンプルsyslogを受信すると同時に管理者にアラートメールを送信します。

もちろん、「イベントID4625」が記載されたsyslogを受信する毎にアラートメールを送信する事もできますし、4回続いたら初めてアラートメールを送信する事もできます。

 

スクリーンショット②:WinSyslogのフィルター機能とアクション機能で「ログオン失敗イベントID4625のイベントログ」が4回続いたら初めてアラートメールを送信する設定

 

 

【上述の管理を実現するために必要なライセンス構成】

・EventReporter Professional 1ライセンス;1年サポート付 24,000(定価、税別)

・WinSyslog-J Professional ライセンス;1年サポート付  94,000(定価、税別

 Windowsマシンの台数分のEventReporterライセンスが必要です。

WinSyslog-J Professional ライセンス」パッケージは「WinSyslog Professional, InterActive SyslogViewer, BlueBak」を含みます。

本ライセンスが最少構成のパッケージとなります。また、本製品群はパッケージのみの販売となります。

WinSyslog Professionalは対象機器のIPアドレスが100 IP迄になります。

注記:IPアドレスが無制限の場合は、「WinSyslog-J Enterprise ライセンス」(386,000円:定価、税別)になります。

WinSyslog ProfessionalからWinSyslog Enterpriseにアップグレード(差額 + 手数料)ができます。

 

次年度以降の保守更新費用(新規ライセンスは1年間保守サポートを含む)

・EventReporter Professional 1ライセンス;サポート更新1 6,000(定価、税別)

・WinSyslog-J Professional ライセンス;サポート更新1 24,000(定価、税別)

Adiscon社製品の初年度は、最長{新規ライセンス(1年間サポート含む)+保守更新5年分}6年まで保守一括購入が可能です。

 

EventReporterWinSyslogとは】

 Adiscon EventReporter1997年に世界初のWindowsイベントログ管理としてリリースされた製品です。

詳細については、EventReporter製品ガイドの「EventReporterAdiscon関連製品イメージ例」を参照ください。

https://www.jtc-i.co.jp/support/documents/guide/productguide_eventreporter.pdf

イベントログを収集する必要のあるWindows(Server/Client)マシンの台数分のEventReporterライセンスが必要になります。

 

 WinSyslogは、各EventReporterから送信されてくるシスログを受信して中央で一元管理するシスログサーバー製品になります。

WinSyslogは、1996年に世界初のWindows OSで稼働するSyslog Serverとしてリリースされました。

メーカーのAdiscon社は、LinuxSyslog Serverで著名な「rsyslog」を開発した会社です。

すなわち、WinSyslogは、Syslog Serverの専門会社であるAdiscon社が開発した 世界初のWindows OSで稼働するSyslog Server製品になります。

EventReporterから送信されるsyslogと併せて各種ネットワーク機器のsyslogも一緒に一元管理ができます。

詳細については、以下の弊社WebサイトURLWinSyslog 製品ガイドをご参照ください。

https://www.jtc-i.co.jp/support/documents/presentation/productguide_winsyslog.pdf

 

【参考URL

https://docs.microsoft.com/ja-jp/windows/security/threat-protection/auditing/event-4625