付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバプロキシサーバエラーログ SSL ログ AP ログホストログ非日時ファイアウォールホスト名ファイアウォールルール名及び番号インバウン

Size: px

Start display at page:

Download "付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバプロキシサーバエラーログ SSL ログ AP ログホストログ非日時ファイアウォールホスト名ファイアウォールルール名及び番号インバウン"

ありおきつちかね
5 years ago
Views:

1 サイバー攻撃 ( 標的型攻撃 ) 対策防御モデルの解説付録 2 システムログ一覧 ()

2 付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバプロキシサーバエラーログ SSL ログ AP ログホストログ非日時ファイアウォールホスト名ファイアウォールルール名及び番号インバウンドインタフェースアウトバウンドインタフェース MACアドレスパケットサイズ転送バイト数 IPパケット優先度 (TOS,PREC) IPパケット生存期間 (TTL) IPフラグメントパケット識別子 (ID) IPフラグメンテーション情報 (DFビット) ソースIPアドレス接続元 IPアドレスソースポート番号接続元ポート番号宛先 IPアドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル TCPウインドウサイズ (WINDOW) TCPフラグ日時送信元アドレス送信元ポート番号宛先アドレス宛先ポート番号同一セッションの送受信バイト数同一セッションの送受信パケット数プロトコルセッション継続時間セッションのユーザ名 URL ファイル名脅威情報リモートホスト名またはIPアドレス接続元 IPアドレスクライアントの識別子認証されたユーザー名ログインユーザ名日時リクエストの最初の行の値接続先 URL 最後のレスポンスのステータスステータスコード送信されたバイト数 ( ヘッダーは含まず ) 転送バイト数リクエストに含まれるRefererの値リファラリクエストに含まれるUserAgentの値 ( ブラウザ情報 ) ユーザエージェント日時エラーの重要度アクセスしたクライアントのIPアドレス接続元 IPアドレスメッセージ日時リモートホスト名 SSLプロトコルバージョン SSL 暗号リクエストの最初の行の値送信されたバイト数 ( ヘッダーは含まず ) リモートホスト名またはIPアドレス接続元 IPアドレス認証されたユーザー名ログインユーザ名日時メソッドとURL 接続先 URL HTTPステータスコードステータスコードレスポンスサイズ日時ログを生成したスレッドログレベルカテゴリー名メッセージ日時ログを生成したスレッドログレベルカテゴリー名メッセージ日時メッセージ UTCの時間日時継続時間セッション継続時間クライアントのIPアドレス接続元 IPアドレスリザルトコード ( 結果コード ) ステータスコード転送バイト数転送バイト数リクエストメソッドリクエストメソッド URL 接続先 URL 非経由非信頼信頼ドドメイメインン経由非経由

3 1. プロキスサーバ DNS サーバメールサーバスイッチ / ルータドメインコント内部セグローラーメント DHCP サーバ DNS サーバ ( 内部 DNS) 非非経由非信頼信頼ドドメイメインン経由階層コード接続先 IPアドレス HTTPヘッダにリプライされてきたオブジェクトのコンテンツタイプファイル形式 UserAgent ユーザエージェント動作ログ ( エラーログデバッ日時グログキャッシュ ) メッセージデバッグログ日時メッセージ ( エラーやデバックメッセージ ) 日時ログカテゴリクライアントのIPアドレスとポート番号接続元 IPアドレスファシリティ ( ログの分類 ) ゾーン情報リクエストドメイン名 DNSリクエストレコードタイプ日時サーバホスト名プロセスの情報 ( プロセスの所有者とプロセスID) メッセージID (Sendmailによって送信されたメッセージに割り当てられたID) メッセージの受信者または送信者送信元 / 送信先メールアドレス / ドメインメッセージサイズ転送バイト数メッセージ優先度メッセージ受信者数メッセージ受信者数メッセージ識別番号プロトコル情報サーバデーモン名メッセージ送信サーバとIPアドレス接続元 IPアドレスステータス添付ファイル名添付ファイル名日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号同一フローの送受信バイト数転送バイト数同一フローの送受信パケット数転送バイト数ログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード日時ホスト名またはIPアドレス MACアドレス状態ログの名前ソース日時イベントID タスクのカテゴリレベルキーワードユーザーコンピュータオペコード非経由

4 1. 内部セグメントファイルサーバ (Windows) (Linux) (OS) イベントログプリフェッチレジストリスクリーンセーバータスクスケジューラファイルの履歴プロセスログメッセージログ cron ログカーネルログセキュリティログシステムコールログファイル操作ログプロセス操作ログレジストリ操作ログ API 操作ログ非非経由非信頼信頼ドドメイメインン経由ログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコードログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード日時ファイル名ファイル名自動起動のファイル名ファイル名接続したUSBメモリ等の情報接続デバイス名起動するスクリーンセーバーログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード以前のバージョン情報日時プロセスID タイプファイル名プロセス名日時ログを出力したホスト名メッセージの出力元メッセージ日時ログを出力したホスト名メッセージの出力元メッセージ日時ログを出力したホスト名ワークステーション名メッセージの出力元メッセージ接続デバイス名日時ログを出力したホスト名メッセージの出力元接続元 IPアドレスメッセージログインユーザ名認証成否結果日時プロセスID プロセス名プロセス名ファイルパスファイルパス日時親プロセスID プロセスID プロセス名プロセス名コマンドラインファイルパス日時プロセスID キーレジストリキー値レジストリ値データ日時プロセスID API 名 API 名 APIの引数 APIの戻り値非経由

5 1. 内部セグメント ( ブラウザ ) (AntiVirus) 非非経由日時 URL 接続先 URL スキャン日時プロセスID プロセス名スキャン結果非信頼信頼ドドメイメインン経由非経由

6 1. 対策強化機器 L7FW (NGFW,APFW) DLP (Data Loss Prevention) Mail ゲートウェイ WAF サンドボックス改ざん検知非非経由非信頼信頼ドドメイメインン経由日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号同一セッションの送受信バイト数転送バイト数同一セッションの送受信パケット数転送バイト数プロトコル通信アプリケーション名セッション継続時間セッション継続時間セッションのユーザ名アカウント名 URL 接続先 URL ファイル名ファイル名脅威情報日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル通信アプリケーション名 URL 接続先 URL 検知キーワード検知キーワード検知ファイル名ファイル名日時サーバホスト名メッセージID メッセージの受信者または送信者送信元 / 送信先メールアドレス / ドメインメッセージサイズメッセージ受信者数プロトコル情報メッセージ送信サーバとIPアドレス接続元 IPアドレスステータス件名件名検知名検知ファイル名検知 URL 日時ログID 送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号検知タイプ優先度アラートメッセージID アラートメッセージIDに紐づく検知項目 (URL 含む ) 日時ログID 送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル URL 接続先 URL ファイル名ファイル名ファイルタイプファイル形式ファイルサイズファイルサイズファイルハッシュ値ファイルハッシュ値悪性判定結果マルウェアのファイル操作ログマルウェアのプロセス操作ログマルウェアのレジストリ操作ログマルウェアのAPI 呼出しマルウェアの通信先アドレス / ポート番号日時ログID 改ざん内容 ( ファイルサイズ変化 : 旧新 ) ファイルサイズ変化検知ルール名 ( 追加 / 削除 / 編集 ) イベント名検知ファイル名ファイル名ユーザ名 ( 検知した操作を行ったOSのアカウント名 ) アカウント名非経由

7 1. 対策強化機器内部セグメントホスト型 IPS/IDS 非非経由非信頼信頼ドドメイメインン経由日時ログID ホストIPアドレスホスト名検知ルール検知したファイル操作検知したプロセス操作検知したレジストリ操作検知したAPI 呼出し日時ログID ホストIPアドレスホスト名検知ルール検知したファイル操作検知したプロセス操作検知したレジストリ操作検知したAPI 呼出し非経由

8 付録 2 システムログ一覧 () 攻撃経路 2. 標的組織の公開サービスホストファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバプロキシサーバエラーログ SSL ログ AP ログホストログ非日時ファイアウォールホスト名ファイアウォールルール名及び番号インバウンドインタフェースアウトバウンドインタフェース MACアドレスパケットサイズ転送バイト数 IPパケット優先度 (TOS,PREC) IPパケット生存期間 (TTL) IPフラグメントパケット識別子 (ID) IPフラグメンテーション情報 (DFビット) ソースIPアドレス接続元 IPアドレスソースポート番号接続元ポート番号宛先 IPアドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル TCPウインドウサイズ (WINDOW) TCPフラグ日時送信元アドレス送信元ポート番号宛先アドレス宛先ポート番号同一セッションの送受信バイト数同一セッションの送受信パケット数プロトコルセッション継続時間セッションのユーザ名 URL ファイル名脅威情報リモートホスト名またはIPアドレス接続元 IPアドレスクライアントの識別子認証されたユーザー名ログインユーザ名日時リクエストの最初の行の値接続先 URL 最後のレスポンスのステータスステータスコード送信されたバイト数 ( ヘッダーは含まず ) 転送バイト数リクエストに含まれるRefererの値リファラリクエストに含まれるUserAgentの値 ( ブラウザ情報 ) ユーザエージェント日時エラーの重要度アクセスしたクライアントのIPアドレス接続元 IPアドレスメッセージ日時リモートホスト名 SSLプロトコルバージョン SSL 暗号リクエストの最初の行の値送信されたバイト数 ( ヘッダーは含まず ) リモートホスト名またはIPアドレス接続元 IPアドレス認証されたユーザー名ログインユーザ名日時メソッドとURL 接続先 URL HTTPステータスコードステータスコードレスポンスサイズ日時ログを生成したスレッドログレベルカテゴリー名メッセージ日時ログを生成したスレッドログレベルカテゴリー名メッセージ日時メッセージ UTCの時間日時継続時間セッション継続時間クライアントのIPアドレス接続元 IPアドレスリザルトコード ( 結果コード ) ステータスコード転送バイト数転送バイト数リクエストメソッドリクエストメソッド URL 接続先 URL 非経由非信頼信頼ドドメイメインン経由非経由

9 2. 標的組織の公開サービスホストプロキスサーバ DNS サーバメールサーバスイッチ / ルータドメインコント内部セグローラーメント DHCP サーバ DNS サーバ ( 内部 DNS) 非非経由非信頼信頼ドドメイメインン経由階層コード接続先 IPアドレス HTTPヘッダにリプライされてきたオブジェクトのコンテンツタイプファイル形式 UserAgent ユーザエージェント動作ログ ( エラーログデバッ日時グログキャッシュ ) メッセージデバッグログ日時メッセージ ( エラーやデバックメッセージ ) 日時ログカテゴリクライアントのIPアドレスとポート番号接続元 IPアドレスファシリティ ( ログの分類 ) ゾーン情報リクエストドメイン名 DNSリクエストレコードタイプ日時サーバホスト名プロセスの情報 ( プロセスの所有者とプロセスID) メッセージID (Sendmailによって送信されたメッセージに割り当てられたID) メッセージの受信者または送信者送信元 / 送信先メールアドレス / ドメインメッセージサイズ転送バイト数メッセージ優先度メッセージ受信者数メッセージ受信者数メッセージ識別番号プロトコル情報サーバデーモン名メッセージ送信サーバとIPアドレス接続元 IPアドレスステータス添付ファイル名添付ファイル名日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号同一フローの送受信バイト数転送バイト数同一フローの送受信パケット数転送バイト数ログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード日時ホスト名またはIPアドレス MACアドレス状態ログの名前ソース日時イベントID タスクのカテゴリレベルキーワードユーザーコンピュータオペコード非経由

10 2. 標的組織の公開サービスホスト内部セグメントファイルサーバ (Windows) (Linux) (OS) イベントログプリフェッチレジストリスクリーンセーバータスクスケジューラファイルの履歴プロセスログメッセージログ cron ログカーネルログセキュリティログシステムコールログファイル操作ログプロセス操作ログレジストリ操作ログ API 操作ログ非非経由非信頼信頼ドドメイメインン経由ログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコードログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード日時ファイル名ファイル名自動起動のファイル名ファイル名接続したUSBメモリ等の情報接続デバイス名起動するスクリーンセーバーログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード以前のバージョン情報日時プロセスID タイプファイル名プロセス名日時ログを出力したホスト名メッセージの出力元メッセージ日時ログを出力したホスト名メッセージの出力元メッセージ日時ログを出力したホスト名ワークステーション名メッセージの出力元メッセージ接続デバイス名日時ログを出力したホスト名メッセージの出力元接続元 IPアドレスメッセージログインユーザ名認証成否結果日時プロセスID プロセス名プロセス名ファイルパスファイルパス日時親プロセスID プロセスID プロセス名プロセス名コマンドラインファイルパス日時プロセスID キーレジストリキー値レジストリ値データ日時プロセスID API 名 API 名 APIの引数 APIの戻り値非経由

11 2. 標的組織の公開サービスホスト内部セグメント ( ブラウザ ) (AntiVirus) 非非経由日時 URL 接続先 URL スキャン日時プロセスID プロセス名スキャン結果非信頼信頼ドドメイメインン経由非経由

12 2. 標的組織の公開サービスホスト対策強化機器 L7FW (NGFW,APFW) DLP (Data Loss Prevention) Mail ゲートウェイ WAF サンドボックス改ざん検知非非経由非信頼信頼ドドメイメインン経由日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号同一セッションの送受信バイト数転送バイト数同一セッションの送受信パケット数転送バイト数プロトコル通信アプリケーション名セッション継続時間セッション継続時間セッションのユーザ名アカウント名 URL 接続先 URL ファイル名ファイル名脅威情報日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル通信アプリケーション名 URL 接続先 URL 検知キーワード検知キーワード検知ファイル名ファイル名日時サーバホスト名メッセージID メッセージの受信者または送信者送信元 / 送信先メールアドレス / ドメインメッセージサイズメッセージ受信者数プロトコル情報メッセージ送信サーバとIPアドレス接続元 IPアドレスステータス件名件名検知名検知ファイル名検知 URL 日時ログID 送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号検知タイプ優先度アラートメッセージID アラートメッセージIDに紐づく検知項目 (URL 含む ) 日時ログID 送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル URL 接続先 URL ファイル名ファイル名ファイルタイプファイル形式ファイルサイズファイルサイズファイルハッシュ値ファイルハッシュ値悪性判定結果マルウェアのファイル操作ログマルウェアのプロセス操作ログマルウェアのレジストリ操作ログマルウェアのAPI 呼出しマルウェアの通信先アドレス / ポート番号日時ログID 改ざん内容 ( ファイルサイズ変化 : 旧新 ) ファイルサイズ変化検知ルール名 ( 追加 / 削除 / 編集 ) イベント名検知ファイル名ファイル名ユーザ名 ( 検知した操作を行ったOSのアカウント名 ) アカウント名非経由

13 2. 標的組織の公開サービスホスト対策強化機器内部セグメントホスト型 IPS/IDS 非非経由非信頼信頼ドドメイメインン経由日時ログID ホストIPアドレスホスト名検知ルール検知したファイル操作検知したプロセス操作検知したレジストリ操作検知したAPI 呼出し日時ログID ホストIPアドレスホスト名検知ルール検知したファイル操作検知したプロセス操作検知したレジストリ操作検知したAPI 呼出し非経由

14 付録 2 システムログ一覧 () 攻撃経路 3.USB 等の外部記憶媒体ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバプロキシサーバエラーログ SSL ログ AP ログホストログ非日時ファイアウォールホスト名ファイアウォールルール名及び番号インバウンドインタフェースアウトバウンドインタフェース MACアドレスパケットサイズ転送バイト数 IPパケット優先度 (TOS,PREC) IPパケット生存期間 (TTL) IPフラグメントパケット識別子 (ID) IPフラグメンテーション情報 (DFビット) ソースIPアドレス接続元 IPアドレスソースポート番号接続元ポート番号宛先 IPアドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル TCPウインドウサイズ (WINDOW) TCPフラグ日時送信元アドレス送信元ポート番号宛先アドレス宛先ポート番号同一セッションの送受信バイト数同一セッションの送受信パケット数プロトコルセッション継続時間セッションのユーザ名 URL ファイル名脅威情報リモートホスト名またはIPアドレス接続元 IPアドレスクライアントの識別子認証されたユーザー名ログインユーザ名日時リクエストの最初の行の値接続先 URL 最後のレスポンスのステータスステータスコード送信されたバイト数 ( ヘッダーは含まず ) 転送バイト数リクエストに含まれるRefererの値リファラリクエストに含まれるUserAgentの値 ( ブラウザ情報 ) ユーザエージェント日時エラーの重要度アクセスしたクライアントのIPアドレス接続元 IPアドレスメッセージ日時リモートホスト名 SSLプロトコルバージョン SSL 暗号リクエストの最初の行の値送信されたバイト数 ( ヘッダーは含まず ) リモートホスト名またはIPアドレス接続元 IPアドレス認証されたユーザー名ログインユーザ名日時メソッドとURL 接続先 URL HTTPステータスコードステータスコードレスポンスサイズ日時ログを生成したスレッドログレベルカテゴリー名メッセージ日時ログを生成したスレッドログレベルカテゴリー名メッセージ日時メッセージ UTCの時間日時継続時間セッション継続時間クライアントのIPアドレス接続元 IPアドレスリザルトコード ( 結果コード ) ステータスコード転送バイト数転送バイト数リクエストメソッドリクエストメソッド URL 接続先 URL 非経由非信頼信頼ドドメイメインン経由非経由

15 3.USB 等の外部記憶媒体プロキスサーバ DNS サーバメールサーバスイッチ / ルータドメインコント内部セグローラーメント DHCP サーバ DNS サーバ ( 内部 DNS) 非非経由非信頼信頼ドドメイメインン経由階層コード接続先 IPアドレス HTTPヘッダにリプライされてきたオブジェクトのコンテンツタイプファイル形式 UserAgent ユーザエージェント動作ログ ( エラーログデバッ日時グログキャッシュ ) メッセージデバッグログ日時メッセージ ( エラーやデバックメッセージ ) 日時ログカテゴリクライアントのIPアドレスとポート番号接続元 IPアドレスファシリティ ( ログの分類 ) ゾーン情報リクエストドメイン名 DNSリクエストレコードタイプ日時サーバホスト名プロセスの情報 ( プロセスの所有者とプロセスID) メッセージID (Sendmailによって送信されたメッセージに割り当てられたID) メッセージの受信者または送信者送信元 / 送信先メールアドレス / ドメインメッセージサイズ転送バイト数メッセージ優先度メッセージ受信者数メッセージ受信者数メッセージ識別番号プロトコル情報サーバデーモン名メッセージ送信サーバとIPアドレス接続元 IPアドレスステータス添付ファイル名添付ファイル名日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号同一フローの送受信バイト数転送バイト数同一フローの送受信パケット数転送バイト数ログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード日時ホスト名またはIPアドレス MACアドレス状態ログの名前ソース日時イベントID タスクのカテゴリレベルキーワードユーザーコンピュータオペコード非経由

16 3.USB 等の外部記憶媒体内部セグメントファイルサーバ (Windows) (Linux) (OS) イベントログプリフェッチレジストリスクリーンセーバータスクスケジューラファイルの履歴プロセスログメッセージログ cron ログカーネルログセキュリティログシステムコールログファイル操作ログプロセス操作ログレジストリ操作ログ API 操作ログ非非経由非信頼信頼ドドメイメインン経由ログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコードログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード日時ファイル名ファイル名自動起動のファイル名ファイル名接続したUSBメモリ等の情報接続デバイス名起動するスクリーンセーバーログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード以前のバージョン情報日時プロセスID タイプファイル名プロセス名日時ログを出力したホスト名メッセージの出力元メッセージ日時ログを出力したホスト名メッセージの出力元メッセージ日時ログを出力したホスト名ワークステーション名メッセージの出力元メッセージ接続デバイス名日時ログを出力したホスト名メッセージの出力元接続元 IPアドレスメッセージログインユーザ名認証成否結果日時プロセスID プロセス名プロセス名ファイルパスファイルパス日時親プロセスID プロセスID プロセス名プロセス名コマンドラインファイルパス日時プロセスID キーレジストリキー値レジストリ値データ日時プロセスID API 名 API 名 APIの引数 APIの戻り値非経由

17 3.USB 等の外部記憶媒体内部セグメント ( ブラウザ ) (AntiVirus) 非非経由日時 URL 接続先 URL スキャン日時プロセスID プロセス名スキャン結果非信頼信頼ドドメイメインン経由非経由

18 3.USB 等の外部記憶媒体対策強化機器 L7FW (NGFW,APFW) DLP (Data Loss Prevention) Mail ゲートウェイ WAF サンドボックス改ざん検知非非経由非信頼信頼ドドメイメインン経由日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号同一セッションの送受信バイト数転送バイト数同一セッションの送受信パケット数転送バイト数プロトコル通信アプリケーション名セッション継続時間セッション継続時間セッションのユーザ名アカウント名 URL 接続先 URL ファイル名ファイル名脅威情報日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル通信アプリケーション名 URL 接続先 URL 検知キーワード検知キーワード検知ファイル名ファイル名日時サーバホスト名メッセージID メッセージの受信者または送信者送信元 / 送信先メールアドレス / ドメインメッセージサイズメッセージ受信者数プロトコル情報メッセージ送信サーバとIPアドレス接続元 IPアドレスステータス件名件名検知名検知ファイル名検知 URL 日時ログID 送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号検知タイプ優先度アラートメッセージID アラートメッセージIDに紐づく検知項目 (URL 含む ) 日時ログID 送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル URL 接続先 URL ファイル名ファイル名ファイルタイプファイル形式ファイルサイズファイルサイズファイルハッシュ値ファイルハッシュ値悪性判定結果マルウェアのファイル操作ログマルウェアのプロセス操作ログマルウェアのレジストリ操作ログマルウェアのAPI 呼出しマルウェアの通信先アドレス / ポート番号日時ログID 改ざん内容 ( ファイルサイズ変化 : 旧新 ) ファイルサイズ変化検知ルール名 ( 追加 / 削除 / 編集 ) イベント名検知ファイル名ファイル名ユーザ名 ( 検知した操作を行ったOSのアカウント名 ) アカウント名非経由

19 3.USB 等の外部記憶媒体対策強化機器内部セグメントホスト型 IPS/IDS 非非経由非信頼信頼ドドメイメインン経由日時ログID ホストIPアドレスホスト名検知ルール検知したファイル操作検知したプロセス操作検知したレジストリ操作検知したAPI 呼出し日時ログID ホストIPアドレスホスト名検知ルール検知したファイル操作検知したプロセス操作検知したレジストリ操作検知したAPI 呼出し非経由

20 付録 2 システムログ一覧 () 攻撃経路 4. 不正コード混入ソフトウェアファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバプロキシサーバエラーログ SSL ログ AP ログホストログ非日時ファイアウォールホスト名ファイアウォールルール名及び番号インバウンドインタフェースアウトバウンドインタフェース MACアドレスパケットサイズ転送バイト数 IPパケット優先度 (TOS,PREC) IPパケット生存期間 (TTL) IPフラグメントパケット識別子 (ID) IPフラグメンテーション情報 (DFビット) ソースIPアドレス接続元 IPアドレスソースポート番号接続元ポート番号宛先 IPアドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル TCPウインドウサイズ (WINDOW) TCPフラグ日時送信元アドレス送信元ポート番号宛先アドレス宛先ポート番号同一セッションの送受信バイト数同一セッションの送受信パケット数プロトコルセッション継続時間セッションのユーザ名 URL ファイル名脅威情報リモートホスト名またはIPアドレス接続元 IPアドレスクライアントの識別子認証されたユーザー名ログインユーザ名日時リクエストの最初の行の値接続先 URL 最後のレスポンスのステータスステータスコード送信されたバイト数 ( ヘッダーは含まず ) 転送バイト数リクエストに含まれるRefererの値リファラリクエストに含まれるUserAgentの値 ( ブラウザ情報 ) ユーザエージェント日時エラーの重要度アクセスしたクライアントのIPアドレス接続元 IPアドレスメッセージ日時リモートホスト名 SSLプロトコルバージョン SSL 暗号リクエストの最初の行の値送信されたバイト数 ( ヘッダーは含まず ) リモートホスト名またはIPアドレス接続元 IPアドレス認証されたユーザー名ログインユーザ名日時メソッドとURL 接続先 URL HTTPステータスコードステータスコードレスポンスサイズ日時ログを生成したスレッドログレベルカテゴリー名メッセージ日時ログを生成したスレッドログレベルカテゴリー名メッセージ日時メッセージ UTCの時間日時継続時間セッション継続時間クライアントのIPアドレス接続元 IPアドレスリザルトコード ( 結果コード ) ステータスコード転送バイト数転送バイト数リクエストメソッドリクエストメソッド URL 接続先 URL 非経由非信頼信頼ドドメイメインン経由非経由

21 4. 不正コード混入ソフトウェアプロキスサーバ DNS サーバメールサーバスイッチ / ルータドメインコント内部セグローラーメント DHCP サーバ DNS サーバ ( 内部 DNS) 非非経由非信頼信頼ドドメイメインン経由階層コード接続先 IPアドレス HTTPヘッダにリプライされてきたオブジェクトのコンテンツタイプファイル形式 UserAgent ユーザエージェント動作ログ ( エラーログデバッ日時グログキャッシュ ) メッセージデバッグログ日時メッセージ ( エラーやデバックメッセージ ) 日時ログカテゴリクライアントのIPアドレスとポート番号接続元 IPアドレスファシリティ ( ログの分類 ) ゾーン情報リクエストドメイン名 DNSリクエストレコードタイプ日時サーバホスト名プロセスの情報 ( プロセスの所有者とプロセスID) メッセージID (Sendmailによって送信されたメッセージに割り当てられたID) メッセージの受信者または送信者送信元 / 送信先メールアドレス / ドメインメッセージサイズ転送バイト数メッセージ優先度メッセージ受信者数メッセージ受信者数メッセージ識別番号プロトコル情報サーバデーモン名メッセージ送信サーバとIPアドレス接続元 IPアドレスステータス添付ファイル名添付ファイル名日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号同一フローの送受信バイト数転送バイト数同一フローの送受信パケット数転送バイト数ログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード日時ホスト名またはIPアドレス MACアドレス状態ログの名前ソース日時イベントID タスクのカテゴリレベルキーワードユーザーコンピュータオペコード非経由

22 4. 不正コード混入ソフトウェア内部セグメントファイルサーバ (Windows) (Linux) (OS) イベントログプリフェッチレジストリスクリーンセーバータスクスケジューラファイルの履歴プロセスログメッセージログ cron ログカーネルログセキュリティログシステムコールログファイル操作ログプロセス操作ログレジストリ操作ログ API 操作ログ非非経由非信頼信頼ドドメイメインン経由ログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコードログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード日時ファイル名ファイル名自動起動のファイル名ファイル名接続したUSBメモリ等の情報接続デバイス名起動するスクリーンセーバーログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード以前のバージョン情報日時プロセスID タイプファイル名プロセス名日時ログを出力したホスト名メッセージの出力元メッセージ日時ログを出力したホスト名メッセージの出力元メッセージ日時ログを出力したホスト名ワークステーション名メッセージの出力元メッセージ接続デバイス名日時ログを出力したホスト名メッセージの出力元接続元 IPアドレスメッセージログインユーザ名認証成否結果日時プロセスID プロセス名プロセス名ファイルパスファイルパス日時親プロセスID プロセスID プロセス名プロセス名コマンドラインファイルパス日時プロセスID キーレジストリキー値レジストリ値データ日時プロセスID API 名 API 名 APIの引数 APIの戻り値非経由

23 4. 不正コード混入ソフトウェア内部セグメント ( ブラウザ ) (AntiVirus) 非非経由日時 URL 接続先 URL スキャン日時プロセスID プロセス名スキャン結果非信頼信頼ドドメイメインン経由非経由

24 4. 不正コード混入ソフトウェア対策強化機器 L7FW (NGFW,APFW) DLP (Data Loss Prevention) Mail ゲートウェイ WAF サンドボックス改ざん検知非非経由非信頼信頼ドドメイメインン経由日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号同一セッションの送受信バイト数転送バイト数同一セッションの送受信パケット数転送バイト数プロトコル通信アプリケーション名セッション継続時間セッション継続時間セッションのユーザ名アカウント名 URL 接続先 URL ファイル名ファイル名脅威情報日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル通信アプリケーション名 URL 接続先 URL 検知キーワード検知キーワード検知ファイル名ファイル名日時サーバホスト名メッセージID メッセージの受信者または送信者送信元 / 送信先メールアドレス / ドメインメッセージサイズメッセージ受信者数プロトコル情報メッセージ送信サーバとIPアドレス接続元 IPアドレスステータス件名件名検知名検知ファイル名検知 URL 日時ログID 送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号検知タイプ優先度アラートメッセージID アラートメッセージIDに紐づく検知項目 (URL 含む ) 日時ログID 送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル URL 接続先 URL ファイル名ファイル名ファイルタイプファイル形式ファイルサイズファイルサイズファイルハッシュ値ファイルハッシュ値悪性判定結果マルウェアのファイル操作ログマルウェアのプロセス操作ログマルウェアのレジストリ操作ログマルウェアのAPI 呼出しマルウェアの通信先アドレス / ポート番号日時ログID 改ざん内容 ( ファイルサイズ変化 : 旧新 ) ファイルサイズ変化検知ルール名 ( 追加 / 削除 / 編集 ) イベント名検知ファイル名ファイル名ユーザ名 ( 検知した操作を行ったOSのアカウント名 ) アカウント名非経由

25 4. 不正コード混入ソフトウェア対策強化機器内部セグメントホスト型 IPS/IDS 非非経由非信頼信頼ドドメイメインン経由日時ログID ホストIPアドレスホスト名検知ルール検知したファイル操作検知したプロセス操作検知したレジストリ操作検知したAPI 呼出し日時ログID ホストIPアドレスホスト名検知ルール検知したファイル操作検知したプロセス操作検知したレジストリ操作検知したAPI 呼出し非経由

26 付録 2 システムログ一覧 () 攻撃経路 5. クラウドサービスファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバプロキシサーバエラーログ SSL ログ AP ログホストログ非日時ファイアウォールホスト名ファイアウォールルール名及び番号インバウンドインタフェースアウトバウンドインタフェース MACアドレスパケットサイズ転送バイト数 IPパケット優先度 (TOS,PREC) IPパケット生存期間 (TTL) IPフラグメントパケット識別子 (ID) IPフラグメンテーション情報 (DFビット) ソースIPアドレス接続元 IPアドレスソースポート番号接続元ポート番号宛先 IPアドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル TCPウインドウサイズ (WINDOW) TCPフラグ日時送信元アドレス送信元ポート番号宛先アドレス宛先ポート番号同一セッションの送受信バイト数同一セッションの送受信パケット数プロトコルセッション継続時間セッションのユーザ名 URL ファイル名脅威情報リモートホスト名またはIPアドレス接続元 IPアドレスクライアントの識別子認証されたユーザー名ログインユーザ名日時リクエストの最初の行の値接続先 URL 最後のレスポンスのステータスステータスコード送信されたバイト数 ( ヘッダーは含まず ) 転送バイト数リクエストに含まれるRefererの値リファラリクエストに含まれるUserAgentの値 ( ブラウザ情報 ) ユーザエージェント日時エラーの重要度アクセスしたクライアントのIPアドレス接続元 IPアドレスメッセージ日時リモートホスト名 SSLプロトコルバージョン SSL 暗号リクエストの最初の行の値送信されたバイト数 ( ヘッダーは含まず ) リモートホスト名またはIPアドレス接続元 IPアドレス認証されたユーザー名ログインユーザ名日時メソッドとURL 接続先 URL HTTPステータスコードステータスコードレスポンスサイズ日時ログを生成したスレッドログレベルカテゴリー名メッセージ日時ログを生成したスレッドログレベルカテゴリー名メッセージ日時メッセージ UTCの時間日時継続時間セッション継続時間クライアントのIPアドレス接続元 IPアドレスリザルトコード ( 結果コード ) ステータスコード転送バイト数転送バイト数リクエストメソッドリクエストメソッド URL 接続先 URL 非経由非信頼信頼ドドメイメインン経由非経由

27 5. クラウドサービスプロキスサーバ DNS サーバメールサーバスイッチ / ルータドメインコント内部セグローラーメント DHCP サーバ DNS サーバ ( 内部 DNS) 非非経由非信頼信頼ドドメイメインン経由階層コード接続先 IPアドレス HTTPヘッダにリプライされてきたオブジェクトのコンテンツタイプファイル形式 UserAgent ユーザエージェント動作ログ ( エラーログデバッ日時グログキャッシュ ) メッセージデバッグログ日時メッセージ ( エラーやデバックメッセージ ) 日時ログカテゴリクライアントのIPアドレスとポート番号接続元 IPアドレスファシリティ ( ログの分類 ) ゾーン情報リクエストドメイン名 DNSリクエストレコードタイプ日時サーバホスト名プロセスの情報 ( プロセスの所有者とプロセスID) メッセージID (Sendmailによって送信されたメッセージに割り当てられたID) メッセージの受信者または送信者送信元 / 送信先メールアドレス / ドメインメッセージサイズ転送バイト数メッセージ優先度メッセージ受信者数メッセージ受信者数メッセージ識別番号プロトコル情報サーバデーモン名メッセージ送信サーバとIPアドレス接続元 IPアドレスステータス添付ファイル名添付ファイル名日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号同一フローの送受信バイト数転送バイト数同一フローの送受信パケット数転送バイト数ログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード日時ホスト名またはIPアドレス MACアドレス状態ログの名前ソース日時イベントID タスクのカテゴリレベルキーワードユーザーコンピュータオペコード非経由

28 5. クラウドサービス内部セグメントファイルサーバ (Windows) (Linux) (OS) イベントログプリフェッチレジストリスクリーンセーバータスクスケジューラファイルの履歴プロセスログメッセージログ cron ログカーネルログセキュリティログシステムコールログファイル操作ログプロセス操作ログレジストリ操作ログ API 操作ログ非非経由非信頼信頼ドドメイメインン経由ログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコードログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード日時ファイル名ファイル名自動起動のファイル名ファイル名接続したUSBメモリ等の情報接続デバイス名起動するスクリーンセーバーログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード以前のバージョン情報日時プロセスID タイプファイル名プロセス名日時ログを出力したホスト名メッセージの出力元メッセージ日時ログを出力したホスト名メッセージの出力元メッセージ日時ログを出力したホスト名ワークステーション名メッセージの出力元メッセージ接続デバイス名日時ログを出力したホスト名メッセージの出力元接続元 IPアドレスメッセージログインユーザ名認証成否結果日時プロセスID プロセス名プロセス名ファイルパスファイルパス日時親プロセスID プロセスID プロセス名プロセス名コマンドラインファイルパス日時プロセスID キーレジストリキー値レジストリ値データ日時プロセスID API 名 API 名 APIの引数 APIの戻り値非経由

29 5. クラウドサービス内部セグメント ( ブラウザ ) (AntiVirus) 非非経由日時 URL 接続先 URL スキャン日時プロセスID プロセス名スキャン結果非信頼信頼ドドメイメインン経由非経由

30 5. クラウドサービス対策強化機器 L7FW (NGFW,APFW) DLP (Data Loss Prevention) Mail ゲートウェイ WAF サンドボックス改ざん検知非非経由非信頼信頼ドドメイメインン経由日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号同一セッションの送受信バイト数転送バイト数同一セッションの送受信パケット数転送バイト数プロトコル通信アプリケーション名セッション継続時間セッション継続時間セッションのユーザ名アカウント名 URL 接続先 URL ファイル名ファイル名脅威情報日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル通信アプリケーション名 URL 接続先 URL 検知キーワード検知キーワード検知ファイル名ファイル名日時サーバホスト名メッセージID メッセージの受信者または送信者送信元 / 送信先メールアドレス / ドメインメッセージサイズメッセージ受信者数プロトコル情報メッセージ送信サーバとIPアドレス接続元 IPアドレスステータス件名件名検知名検知ファイル名検知 URL 日時ログID 送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号検知タイプ優先度アラートメッセージID アラートメッセージIDに紐づく検知項目 (URL 含む ) 日時ログID 送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル URL 接続先 URL ファイル名ファイル名ファイルタイプファイル形式ファイルサイズファイルサイズファイルハッシュ値ファイルハッシュ値悪性判定結果マルウェアのファイル操作ログマルウェアのプロセス操作ログマルウェアのレジストリ操作ログマルウェアのAPI 呼出しマルウェアの通信先アドレス / ポート番号日時ログID 改ざん内容 ( ファイルサイズ変化 : 旧新 ) ファイルサイズ変化検知ルール名 ( 追加 / 削除 / 編集 ) イベント名検知ファイル名ファイル名ユーザ名 ( 検知した操作を行ったOSのアカウント名 ) アカウント名非経由

31 5. クラウドサービス対策強化機器内部セグメントホスト型 IPS/IDS 非非経由非信頼信頼ドドメイメインン経由日時ログID ホストIPアドレスホスト名検知ルール検知したファイル操作検知したプロセス操作検知したレジストリ操作検知したAPI 呼出し日時ログID ホストIPアドレスホスト名検知ルール検知したファイル操作検知したプロセス操作検知したレジストリ操作検知したAPI 呼出し非経由

32 付録 2 システムログ一覧 () 攻撃経路 6. 保守業者持込機器ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバプロキシサーバエラーログ SSL ログ AP ログホストログ非日時ファイアウォールホスト名ファイアウォールルール名及び番号インバウンドインタフェースアウトバウンドインタフェース MACアドレスパケットサイズ転送バイト数 IPパケット優先度 (TOS,PREC) IPパケット生存期間 (TTL) IPフラグメントパケット識別子 (ID) IPフラグメンテーション情報 (DFビット) ソースIPアドレス接続元 IPアドレスソースポート番号接続元ポート番号宛先 IPアドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル TCPウインドウサイズ (WINDOW) TCPフラグ日時送信元アドレス送信元ポート番号宛先アドレス宛先ポート番号同一セッションの送受信バイト数同一セッションの送受信パケット数プロトコルセッション継続時間セッションのユーザ名 URL ファイル名脅威情報リモートホスト名またはIPアドレス接続元 IPアドレスクライアントの識別子認証されたユーザー名ログインユーザ名日時リクエストの最初の行の値接続先 URL 最後のレスポンスのステータスステータスコード送信されたバイト数 ( ヘッダーは含まず ) 転送バイト数リクエストに含まれるRefererの値リファラリクエストに含まれるUserAgentの値 ( ブラウザ情報 ) ユーザエージェント日時エラーの重要度アクセスしたクライアントのIPアドレス接続元 IPアドレスメッセージ日時リモートホスト名 SSLプロトコルバージョン SSL 暗号リクエストの最初の行の値送信されたバイト数 ( ヘッダーは含まず ) リモートホスト名またはIPアドレス接続元 IPアドレス認証されたユーザー名ログインユーザ名日時メソッドとURL 接続先 URL HTTPステータスコードステータスコードレスポンスサイズ日時ログを生成したスレッドログレベルカテゴリー名メッセージ日時ログを生成したスレッドログレベルカテゴリー名メッセージ日時メッセージ UTCの時間日時継続時間セッション継続時間クライアントのIPアドレス接続元 IPアドレスリザルトコード ( 結果コード ) ステータスコード転送バイト数転送バイト数リクエストメソッドリクエストメソッド URL 接続先 URL 非経由非信頼信頼ドドメイメインン経由非経由

33 6. 保守業者持込機器プロキスサーバ DNS サーバメールサーバスイッチ / ルータドメインコント内部セグローラーメント DHCP サーバ DNS サーバ ( 内部 DNS) 非非経由非信頼信頼ドドメイメインン経由階層コード接続先 IPアドレス HTTPヘッダにリプライされてきたオブジェクトのコンテンツタイプファイル形式 UserAgent ユーザエージェント動作ログ ( エラーログデバッ日時グログキャッシュ ) メッセージデバッグログ日時メッセージ ( エラーやデバックメッセージ ) 日時ログカテゴリクライアントのIPアドレスとポート番号接続元 IPアドレスファシリティ ( ログの分類 ) ゾーン情報リクエストドメイン名 DNSリクエストレコードタイプ日時サーバホスト名プロセスの情報 ( プロセスの所有者とプロセスID) メッセージID (Sendmailによって送信されたメッセージに割り当てられたID) メッセージの受信者または送信者送信元 / 送信先メールアドレス / ドメインメッセージサイズ転送バイト数メッセージ優先度メッセージ受信者数メッセージ受信者数メッセージ識別番号プロトコル情報サーバデーモン名メッセージ送信サーバとIPアドレス接続元 IPアドレスステータス添付ファイル名添付ファイル名日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号同一フローの送受信バイト数転送バイト数同一フローの送受信パケット数転送バイト数ログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード日時ホスト名またはIPアドレス MACアドレス状態ログの名前ソース日時イベントID タスクのカテゴリレベルキーワードユーザーコンピュータオペコード非経由

34 6. 保守業者持込機器内部セグメントファイルサーバ (Windows) (Linux) (OS) イベントログプリフェッチレジストリスクリーンセーバータスクスケジューラファイルの履歴プロセスログメッセージログ cron ログカーネルログセキュリティログシステムコールログファイル操作ログプロセス操作ログレジストリ操作ログ API 操作ログ非非経由非信頼信頼ドドメイメインン経由ログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコードログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード日時ファイル名ファイル名自動起動のファイル名ファイル名接続したUSBメモリ等の情報接続デバイス名起動するスクリーンセーバーログの名前ソース日時イベントID エラーコードタスクのカテゴリレベルキーワードイベント名ユーザーアカウント名コンピュータワークステーション名オペコード以前のバージョン情報日時プロセスID タイプファイル名プロセス名日時ログを出力したホスト名メッセージの出力元メッセージ日時ログを出力したホスト名メッセージの出力元メッセージ日時ログを出力したホスト名ワークステーション名メッセージの出力元メッセージ接続デバイス名日時ログを出力したホスト名メッセージの出力元接続元 IPアドレスメッセージログインユーザ名認証成否結果日時プロセスID プロセス名プロセス名ファイルパスファイルパス日時親プロセスID プロセスID プロセス名プロセス名コマンドラインファイルパス日時プロセスID キーレジストリキー値レジストリ値データ日時プロセスID API 名 API 名 APIの引数 APIの戻り値非経由

35 6. 保守業者持込機器内部セグメント ( ブラウザ ) (AntiVirus) 非非経由日時 URL 接続先 URL スキャン日時プロセスID プロセス名スキャン結果非信頼信頼ドドメイメインン経由非経由

36 6. 保守業者持込機器対策強化機器 L7FW (NGFW,APFW) DLP (Data Loss Prevention) Mail ゲートウェイ WAF サンドボックス改ざん検知非非経由非信頼信頼ドドメイメインン経由日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号同一セッションの送受信バイト数転送バイト数同一セッションの送受信パケット数転送バイト数プロトコル通信アプリケーション名セッション継続時間セッション継続時間セッションのユーザ名アカウント名 URL 接続先 URL ファイル名ファイル名脅威情報日時送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル通信アプリケーション名 URL 接続先 URL 検知キーワード検知キーワード検知ファイル名ファイル名日時サーバホスト名メッセージID メッセージの受信者または送信者送信元 / 送信先メールアドレス / ドメインメッセージサイズメッセージ受信者数プロトコル情報メッセージ送信サーバとIPアドレス接続元 IPアドレスステータス件名件名検知名検知ファイル名検知 URL 日時ログID 送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号検知タイプ優先度アラートメッセージID アラートメッセージIDに紐づく検知項目 (URL 含む ) 日時ログID 送信元アドレス接続元 IPアドレス送信元ポート番号接続元ポート番号宛先アドレス接続先 IPアドレス宛先ポート番号接続先ポート番号プロトコル URL 接続先 URL ファイル名ファイル名ファイルタイプファイル形式ファイルサイズファイルサイズファイルハッシュ値ファイルハッシュ値悪性判定結果マルウェアのファイル操作ログマルウェアのプロセス操作ログマルウェアのレジストリ操作ログマルウェアのAPI 呼出しマルウェアの通信先アドレス / ポート番号日時ログID 改ざん内容 ( ファイルサイズ変化 : 旧新 ) ファイルサイズ変化検知ルール名 ( 追加 / 削除 / 編集 ) イベント名検知ファイル名ファイル名ユーザ名 ( 検知した操作を行ったOSのアカウント名 ) アカウント名非経由

37 6. 保守業者持込機器対策強化機器内部セグメントホスト型 IPS/IDS 非非経由非信頼信頼ドドメイメインン経由日時ログID ホストIPアドレスホスト名検知ルール検知したファイル操作検知したプロセス操作検知したレジストリ操作検知したAPI 呼出し日時ログID ホストIPアドレスホスト名検知ルール検知したファイル操作検知したプロセス操作検知したレジストリ操作検知したAPI 呼出し非経由

< E345F D834F88EA FD88B9295DB A5F F E786C7378>

< E345F D834F88EA FD88B9295DB A5F F E786C7378> サイバー攻撃 ( 標的型攻撃 ) 対策防御モデルの解説付録 4 システムログ一覧 ( 証拠保全 ) 付録 4 システムログ一覧 ( 証拠保全 ) ログとして扱うことができる情報機器種別種別 1 日時 2 ファイアウォールホスト名 3 ファイアウォールルール名及び番号 4 インバウンドインタフェース 5 アウトバウンドインタフェース 6 MACアドレス 7 パケットサイズ 8 IPパケット優先度