Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

Similar documents
プレゼンテーション

Microsoft PowerPoint - Logstorage镣撺ㅂㅅ㇯_for_SKYSEA_Client_View_ pptx

製品概要

ALogシリーズ 監査レポート集

<4D F736F F F696E74202D D312E A90A78CE48AC28BAB93B193FC835C838A B E707074>

JP1 Version 12

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

<4D F736F F F696E74202D D352E8ED093E08AC28BAB835A834C A BAD89BB82CC8CE492F188C42E707074>

1000 Copyright(C)2009 All Rights Reserved - 2 -

なぜIDSIPSは必要なのか?(v1.1).ppt

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

PowerPoint Presentation

ログを活用したActive Directoryに対する攻撃の検知と対策

サイバー攻撃の現状

PowerPoint プレゼンテーション

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

マイナンバー対策マニュアル(技術的安全管理措置)

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

UCSセキュリティ資料_Ver3.5

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

感染の経緯とメカニズム Softbank World Copyright 2013 Symantec Corporation. All rights reserved. 2

Sample 5

Microsoft PowerPoint - 入門編:IPSとIDS、FW、AVの違い(v1.1).ppt

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx

ガイドブック A4.indd

Microsoft Word - sp224_2d.doc

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

Microsoft PowerPoint 高専フォーラム_改訂0.6版.pptx

McAfee Application Control ご紹介

ネットワーク管理規程 1 趣旨 対象者 対象システム 遵守事項 設置基準 導入時の遵守事項 共通の遵守事項 インターネット接続環境における導入時遵守事項 社

PowerPoint プレゼンテーション

スライド 1

弊社アウトソーシング事業

Microsoft PowerPoint - A-3予稿最終版

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで

CIAJ の概要 2017 年度 CIAJ の概要 情報通信技術 (ICT) 活用の一層の促進により 情報通信ネットワークに係る産業の健全な発展をはかるとともに 情報利用の拡大 高度化に寄与することによって 社会的 経済的 文化的に豊かな国民生活の実現および国際社会の実現に貢献することを活動の目的と

Microsoft PowerPoint _A4_予稿(最終)

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

これだけは知ってほしいVoIPセキュリティの基礎

目次 はじめに 1 1. 事案の状況と本部及び NISC の対応 2 2. 事案に関する技術的検討 ネットワーク構成の確認等 プロキシログの解析等 認証サーバの調査 感染端末に対するフォレンジック調査 攻撃の全体像 10 3.

ログはどうしたら使い物になるのか。 ログを活用するための考え方とは? ~「宝の山」を「ゴミの山」に変えないために~

IPA:セキュアなインターネットサーバー構築に関する調査

エンドポイントにおける Web コントロール 概要ガイド

HULFT-WebConnectサービス仕様書

スライド 1

資料 6 クラウドサービスで発生しているインシデントについて 2012 年 3 月 19 日 川口洋, CISSP 株式会社ラックチーフエバンジェリスト lac.co.jp 平成 23 年度第 3 回学術情報基盤オープンフォーラム

Copyright 2008 NIFTY Corporation All rights reserved. 2

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

ACTIVEプロジェクトの取り組み

目次 はじめに... 2 本書の対象読者 昨今の脅威の実情 脅威の全貌 攻撃者が期待する段階ごとの脆弱性 設計 運用上の弱点 設計上 運用上の弱点を生む 10 の落とし穴 メールチェック

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

Dell SonicWALL Training

2. インストール完了画面の 開く をタップするか ホーム画面 AnyConnect のアイコン をタップし アプリケーションを起動してください or 3. OK をタップし 順に従い 接続 をタップしてください AnyConnect は デバイスに関する情報 (IMEI など ) にアクセスする必

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

Microsoft PowerPoint ppt

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

マルチクラウド環境の最適解! ネットワンの セキュリティサービス 2018 年 12 月 13 日ネットワンシステムズ株式会社ビジネス推進本部商品企画部セキュリティチーム兼松智也

Symantec Endpoint Protection 12.1 の管理練習問題 例題 1. 管理外検出でネットワーク上のシステムを識別するとき 次のどのプロトコルが使用されますか a. ICMP b. TCP c. ARP a. UDP 2. ある管理者が Symantec Endpoint P

SDC VPN サービス - VPN ご利用マニュアル - ( トラブルシューティング IVE5.5 版 ) 版作成年月日改定内容 /09/07 初版

EVA監査レポート

エンドポイントにおける Web アクセス制御 概要ガイド

ログはどうしたら使い物になるのか。 ログを活用するための考え方とは? ~「宝の山」を「ゴミの山」に変えないために~

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

Active! mail 6 操作マニュアル 株式会社トランスウエア Copyright TransWare Co. All rights reserved.

福岡大学ネットワーク認証・検疫システム実施マニュアル


Template Word Document

JSOCマネージド・セキュリティ・サービス(MSS) インシデントご報告・セキュリティ動向

スライド 1

金融工学ガイダンス

2. コンピュータ不正アクセス届出状況 別紙 2 (1) 四半期総括 2013 年第 1 四半期 (2013 年 1 月 ~3 月 ) のコンピュータ不正アクセス届出の総数は 27 件でした (2012 年 10 月 ~12 月 :36 件 ) そのうち 侵入 の届出が 18 件 ( 同 :14 件

通信確保と衛星電話実習 ( 業務調整員 ) 参考資料 ワイドスター Ⅱ を活用したデータ通信に関する簡易説明書 第 1.0 版 平成 2 4 年 3 月株式会社 NTTドコモ関西支社法人営業部ソリューションビジネス部 Copyright 2012 NTT docomo Inc. All Rights

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

金融工学ガイダンス

ログ分析によるサイバー攻撃検知システムの構築

金融工学ガイダンス

PowerPoint Presentation

2 Copyright(C) MISEC

金融工学ガイダンス

1. はじめに 本書は Wind ows10 がインストールされたPC を大量に準備する際のいくつかの手順について 検証した結果をまとめたものになります 本書の情報は 2018 年 3 月時点のものです 本書に掲載されている内容は 弊社の検証環境での結果であり すべての環境下で動作することを保証する

SQLインジェクション・ワームに関する現状と推奨する対策案

Active Directory のすすめ

wdr7_dial_man01_jpn.indd

Trend Micro Cloud App Security ご紹介資料

エンドポイントにおける Web コントロール 概要ガイド

2018 年 9 4 開催第 76 回 JIPDEC セミナー 企業が今とるべきセキュリティ対策 本企業を狙う特徴的 と効果的な対策について 株式会社ラックサイバー グリッド ジャパン次世代技術開発センター 笠原恒雄 はじめに 2001 年のラック 社後 製品サポート業務 脆弱性調査業務に従事し ソ

金融工学ガイダンス

Copyright(C)2010 i-corpration All Rights Reserved.

スライド 1

日立の「NX NetMonitor」と米国ファイア・アイの「FireEye NX」を連携させた標的型サイバー攻撃対策ソリューションを提供開始

Microsoft Word - u-CAT’Ý™è…K…C…

SOC Report

0. 目次 Ahkun EX Antimalware ソフト使用マニュアルデスクトップ上での操作方法 1. インストールについて P.3 2. 操作画面の起動方法 P.6 3. アップデートの手動実行 P.7 4. リアルタイム監視の操作 P.9 5. プログラム情報の表示方法 P ソフ

KDDI ビジネスメール メーラー設定ガイド Ver.1.01 Copyright 2013, KDDI Corporation All rights reserved 1

Transcription:

統合ログ管理システム Logstorage 標的型メール攻撃分析 監視例 インフォサイエンス株式会社 プロダクト事業部 Infoscience Corporation www.infoscience.co.jp info@logstorage.com Tel: 03-5427-3503 Fax: 03-5427-3889

標的型メール攻撃とその対策 標的型メール攻撃の本質はメールや添付マルウェアにあるのではなく 攻撃核心は組織への侵入拡大 にあります これを軸にした対策を施し 監視手段を提供し攻撃されている事に早期に気づき 組織判断に繋げる体制を整備する事が最大の防御になります - IPA 標的型メール攻撃 対策に向けたシステム設計ガイド 2013 年 8 月 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 2

標的型メール攻撃の特徴 攻撃の特徴 特定企業や政府組織を標的としたスパイ活動 標的型メールにより マルウェアを送り込む手口 派手でないスパイ活動を長期間執拗に行う 対策上の問題点 標的型メール攻撃への絶対的なセキュリティ対策は無い - 実在する上司や取引先の名を語ったメールに添付された PDF ファイル - 誰か一人でも開けば成功 必ず誰かが開いてしまう 侵入したスパイウィルスの検出が難しい - 新しいパターンのウィルスや 狙った企業内でしか発症しない専門プログラム - 狙った企業が導入しているウィルス対策ソフトに検出されないことを確認済 - アンチウィルスソフトでは 検出できない 社内に 人に起因する セキュリティホール多数存在 - 非管理サーバや消し忘れアカウント 非管理共有 脆弱パスワードなど - 侵入したウィルスやハッカーに狙われる 攻撃の手口 攻撃プロセス攻撃の手口 ( 最近の流行 ) 攻撃のポイント 情報収集 侵入 企業の IR 情報や所属協会名簿などの公開情報から実在の人物名を入手 入手した実在の人物名を語り 仕事を装ったメールを関係者へ送信 誰か一人が開けば成功 外部連絡バックドアの確立など 外部との連絡経路を確保し 外部からの指示やマルウェア本体の DL 盗み出した情報の漏洩出口 入口 拡散 工作活動 感染した PC の権限を利用し 他の PC やサーバのセキュリティホールを利用して感染を拡大する 企業内の重要な情報や ID/PASSWORD などを盗聴する 内部 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 3

対策の考え方 前提条件 マルウェアは必ず侵入する マルウェアやハッカーは 既に社内に居る という前提に立った対策が必須 その上で こう考えましょう 侵入されても情報を盗まれなければいい 侵入してもすぐに盗まれるわけではない 何ヶ月 あるいは何年か掛かるケースも 入らせない よりも 侵入したウィルスの拡散防止や 早期発見 が現実的かつ本質的な対策 そのためには内部ネットワークの 強化と監視 が重要 監視 : 多点 多重のログ取得 ( リアルタイム検出は必ずしも必要ではない ) 強化 : ポリシー通りの確実な運用を可視化 管理 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 4

ログのモニタリングによる対策 侵入したウィルスの拡散防止 早期発見 をログを利用した可視化により実現する 重要サーバ 未管理サーバ Active Directory 拡散 乗っ取り 外部通信 感染 PC 感染 PC Proxy 攻撃用サーバ (C&C サーバ ) ログから見るポイント マルウェア感染後の検知 ( 拡散防止 早期発見 ) 対象ログ Active Directory へのログオンアタック マルウェアは真っ先にActive Directoryの乗っ取りを狙う ADサーバ マルウェアの拡散 マルウェアは他のPCやサーバへの拡散 ( 感染 ) を行う. サーバ / ユーザ端末 外部への情報持ち出し マルウェアは取得した情報を 外部の攻撃用サーバに送信する Proxy サーバ 予防的対応 ログ収集対象 未管理 PC サーバの抽出 未管理サーバや未使用アカウントはマルウェアに悪用されやすい サーバ / ユーザ端末 未使用アカウントの抽出 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 5

標的型メール攻撃対策レポート例 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 6

システム構成イメージ 侵入したマルウェアの拡散防止 早期発見 をログを利用した可視化により実現する Internet Internet ログの統合管理分析レポート生成 ログ 攻撃者 Firewall ログ ログ ルータ ユーザセグメント サーバセグメント 感染端末 内部侵入の拡大 AD サーバプロキシサーバファイルサーバ Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 7

対策レポート例 1 マルウェア内部拡散検出レポート Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 8

マルウェア内部拡散検出レポート概要 侵入したマルウェアの拡散防止 早期検出 ログ解析の観点 分析ポイント サーバログ サーバが発信元のログ ( かつアクセス先がサーバでない ) サーバがマルウェアに感染している可能性 短時間に大量に Logon failuer が出ている端末 マルウェアに感染したサーバ / ユーザ端末がドメインアタックをしている可能性 ユーザ端末ログ 宛先がサーバでない 不特定多数のユーザ端末にアクセスしている トラップアカウントが使用されている ユーザ端末がマルウェアに感染している可能性 感染端末 感染サーバ 拡散 情報取得 感染端末 AD サーバ 乗っ取り レポート一覧 レポート名 レポート内容 ログ取得 分析対象 サーバからクライアントへのアクセス 認証ログ (LogonまたはLogonFailer) の宛先がサーバでないアクセスを発見する サーバ ADへのログオンアタック クライアント毎のLogOnFailer 件数を集計し 大量のアクセス試行を発見する サーバ / ユーザ端末 クライアントからクライアントへのアクセス 宛先がサーバでないアクセスを発見する ユーザ端末 不特定多数へのアクセス クライアント毎のアクセス先件数を集計し 大量のアクセス試行を発見する ユーザ端末 トラップアカウントを利用したアクセス ユーザ端末にトラップアカウントを仕込み 当該アカウントを用いたアクセス元を発見する ユーザ端末 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 9

対策レポート例 2 マルウェア外部通信検出レポート Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 10

マルウェア外部通信検出レポート概要 マルウェアの外部通信を検出 ログ解析の観点 分析ポイント ファイアウォールログ プロキシサーバを経由しないアクセス 接続元端末がマルウェアに感染している可能性 感染サーバ 外部通信 プロキシサーバログ 短時間に大量にプロキシサーバへの認証に失敗している端末 コネクトバック通信を行っている端末 接続元端末がマルウェアに感染している可能性 プロキシ ファイアウォール 攻撃用サーバ (C&C サーバ ) 感染端末 レポート一覧 レポート名 レポート内容 ログ取得 分析対象 ファイアウォール遮断ログ Proxyサーバを経由せず 直接外部に80,443ポートで通信を行おうとしたユーザ端末を発見する ファイアウォール プロキシサーバへの認証失敗 Proxyサーバの認証ログを分析し コネクトバック通信の予兆を発見する プロキシサーバ コネクトバック (*) 通信 プロキシサーバ経由の通信を一度切断し 強制切断時に発生するログから C&C サーバへの再接続を行うコネクトバック通信を発見する プロキシサーバ (*) コネクトバック : 侵入者がコンピュータへ侵入する時の通信方式として 侵入者側ではなくコンピュータ側が接続元となって通信を発し それに応答する形で侵入者がコンピュータに接続し 侵入すること 主に侵入者がファイアウォールをすり抜けるために用いられる Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 11

対策レポート例 3 IT データ棚卸レポート Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 12

IT データ棚卸レポート概要 狙われやすい 未使用アカウント 非管理 PC サーバ を検出 分析ポイント ログ解析の観点 アクセスログと各種台帳 / マスタ 管理台帳とアクセスログを突合せ 未使用アカウント 非管理サーバ PC を検出 未使用アカウント 非管理サーバは不正に利用され易い 未使用アカウント 非管理サーバ 非管理 PC 未使用アカウント抽出レポート 非管理サーバ PC 抽出レポート 突合 突合 アクセスログ アカウント管理台帳 ( ユーザアカウントリスト ) アクセスログ サーバ PC 管理台帳 (IP アドレスリスト ) 指定期間中 一度も使用されていないアカウントがある! 管理台帳にない PC サーバへのアクセスがある! レポート名考えられるリスクレポート内容 未使用アカウント抽出レポート退職者アカウントなど 未使用アカウントの利用 管理台帳とアクセスログを突合せ 未使用アカウントを抽出 非管理 PC サーバレポート社内に許可無く設置されたサーバ PC のウィルス感染 管理台帳とアクセスログを突合せ 非管理 PC サーバを抽出 Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 13

レポートイメージ Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 14

マルウェア行動検出レポートサンプル レポートイメージ Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 15

レポートイメージ レポートイメージ Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 16

開発元インフォサイエンス株式会社 108-0023 東京都港区芝浦 2-4-1インフォサイエンスビル http://www.infoscience.co.jp/ お問い合わせ先インフォサイエンス株式会社プロダクト事業部 TEL 03-5427-3503 FAX 03-5427-3889 http://www.logstorage.com/ mail : info@logstorage.com Copyright(C) 2012 Infoscience Corporation. All Rights Reserved. 17

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック