付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

Similar documents
< E345F D834F88EA FD88B9295DB A5F F E786C7378>

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

McAfee Application Control ご紹介

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

プレゼンテーション

Microsoft PowerPoint - Logstorage镣撺ㅂㅅ㇯_for_SKYSEA_Client_View_ pptx

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

2

PowerPoint Presentation

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

メール設定

目次 1. メールソフトの設定変更について... 1 (1) 設定内容 (Windows / Mac OS X / ipad / Android 等 )... 1 (2) 設定内容 ((1) の設定で送信できない場合のみ ) 設定変更操作手順... 3 (1) Windows / M

在学生向けメールサービス

conf_example_260V2_inet_snat.pdf

ネットワーク入門 データ届くためには2 練習問題

4-5. ファイアウォール (IPv6)

4-4. ファイアウォール (IPv4)

Mobile Access簡易設定ガイド

アプリ利用ガイド

スライド 1

SOC Report

MC860dn/MC860dtn スキャン To CIFS(Windows 7 Professional) Rev.0.1 スキャン To CIFS は スキャンしたデータをネットワーク上の Windows PC の共有フォルダに転送する機能です 以下の操作にはコンピュータの管理者の

情報通信の基礎

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

1 TCP/IPがインストールされていて正常に動作している場合は ループバックアドレィング5.3 ネットワークのトラブルシューティング スでリプライが返ってきます リプライが返ってこない場合 なんらかの原因でサービスが無効になっていたり TCP/IPプロトコルが壊れていたりする可能性があります 2

(Microsoft PowerPoint - TASKalfa256ci\274\330\260\275\336_FAX\216\363\220ME\322\260\331\223]\221\227\220\335\222\350Ver1.1.ppt)

SMTPエラーコード表

(4) 変更するアカウントを選びます の下に 作成したアカウント FAX が表示されているので クリックします (5) [ パスワードを作成する ] をクリックします (6) [ 新しいパスワード ] 欄に設定するパスワード ( ここでは例として fax ) を入力します [ 新しいパスワードの確認

I N D E X リダイレクト画面投稿手順 リダイレクト画面投稿手順 2 1 管理画面にログイン 2 右上の + 追加 を押す メールサービスのご利用について 4 メールソフト設定方法 ご利用のバージョンにより 画面や設定項目が異なる場

LSFE_FW

インストーラー 管理番号 内容 対象バージョン 230 HULFT がすでにインストールされているパスに対してサイレントインストールを実行すると インストールされていた HULFT の動作環境が不正な状態になる 7.3.0~7.3.1 ユーティリティ 管理番号 内容 対象バージョン 231 管理情報

目次 はじめに サービス内容 管理者機能 利用者機能

目次 移行前の作業 3 ステップ1: 移行元サービス メールソフトの設定変更 3 ステップ2: アルファメール2 メールソフトの設定追加 6 ステップ3: アルファメール2 サーバへの接続テスト 11 ステップ4: 管理者へ完了報告 11 移行完了後の作業 14 作業の流れ 14 ステップ1: メー

LCV-Net セットアップガイド macOS

大阪大学キャンパスメールサービスの利用開始方法

1. POP3S および SMTP 認証 1 メールアイコン ( ) をクリックしてメールを起動します 2 一度もメールアカウントを作成したことがない場合は 3 へ進んでください メールアカウントの追加を行う場合は メール メニューから アカウントを追 加 をクリックします 3 メールアカウントのプ

研究室LANの設定方法

Microsoft Word - HULFT-WebConnectサービス仕様書_V2.2_改訂版

共通フィルタの条件を設定する 迷惑メール検知 (SpamAssassin) の設定 迷惑メール検知 (SpamAssassin) とは.

Outlook Express 6 の場合 (Windows XP) Outlook Express 6 の場合 (Windows XP) Windows XP に付属する Outlook Express 6 に αweb のメールアカウントを追加する方法についてご案内します 1 スタート をクリッ

Maser - User Operation Manual

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

1. ログイン 1. 下記の URL よりアクセスしてください 2. が表示されたら ユーザ名 ( 親 ID) とパスワード ( 親 ID パスワード ) をそれぞれの欄に正確に入力し ログイン ボタンをクリックしてください 3. ログインが完了すると メニュー

本製品に接続された端末の IPv6 情報が表示されます 端末に割り当てられた IPv6 アドレス IPv6 アドレスを取得した端末の MAC アドレスが確認できます 注意 : 本ページに情報が表示されるのは本製品が 上位から IPv6 アドレスを取得した場合のみとなります DDNSサービス :DDN

サービス内容 サービス内容 アルファメールダイレクトのサービス内容 機能 対応環境についてご案内します 基本サービス 管理者機能 アルファメールダイレクトをご利用になる前に まず管理者の方がメールアドレスの登録や 必要な設定を行います すべての設定は ホームページ上の専用フォームから行います < 主

MC3000一般ユーザ利用手順書

1 はじめに はじめに お問い合わせ窓口 OUTLOOK WEB APP システムの利用 接続方法 ( サインイン ) 初回サインイン時の利用開始処理 回目以降のサインイン EX

PowerPoint プレゼンテーション

MultiStageマニュアル_メール設定編

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

TeamViewer 9マニュアル – Wake-on-LAN

FutureWeb3サーバー移管マニュアル

058 LGWAN-No155.indd

PowerPoint プレゼンテーション

SMA GW 設置ガイド STEP1. 準備する 1-1 梱包内容の確認 1-4 RTC 用バックアップ電池を取り付ける RTC 用 バックアップ電池 RTC 用 バックアップ電池ソケット 以下のものが含まれていることをご確認ください 刻印表示があるプラス面を上向きにして バックアップ電池 SMA-

第5回 マインクラフト・プログラミング入門

なぜIDSIPSは必要なのか?(v1.1).ppt

アルファメールプレミア 移行設定の手引き Outlook2016

VoIP ゲートウェイ WEB 操作ガイド GW(COT)/GW(BRI) 第 1.0 版 2019 年 4 月 ソフトバンク株式会社

メールデータ移行手順

インストール手順 2 セットアップの種類 [ 標準インストール (S)] [Thunderbird を既定のメールプログラムとして使用する (U)] にチェックを入れ [ 次へ (N)] をクリックします インストール手順 3 セットアップ設定の確認 [ インストール (I)] をクリックします 2

U/Cサーバ 業務システム間転送プログラムインターフェース仕様書

Microsoft Word Webmail

はじめに本マニュアルは以下構成になっています Introduction はG-mai 操作方法のexplanation になります 次節はGmail のメールクライアント (Outlook Express 及びMozillaThunderbird) 設定方法となります OS はwindows XP

Troubleshooting SSH connections with Reflection X

Cisco CSS HTTP キープアライブと ColdFusion サーバの連携

アルファメールプレミアのメールアドレスは 普段ご利用のメールソフトでもメールを送受信することができます ここでは Outlook 2013 の設定方法をご紹介します それ以外のメールソフトをご利用になる場合は 下記の基本設定項目を参考に設定を行ってください 基本設定項目 メールアカウント メールパス

<4D F736F F D B9689C291D282BF817A30332D E B838B90DD92E8837D836A B B

付録

仕様書 1. 件名 福岡女子大学情報セキュリティ対策強化に係る機器調達及び構築業務一式 2. 背景及び目的近年 サイバー攻撃による事件が急激に増加しており その攻撃も年々巧妙化している 外部からの不正アクセス データの改ざんや窃取 あるいは情報システムの破壊や利用妨害など増えてきている また 組織内

メール設定 Outlook Express 6 の場合 (Windows 98 ~ XP) Outlook Express 6 の場合 (Windows 98 ~ XP) Windows XP に付属する Outlook Express 6 に αweb のメールアカウントを追加する方法についてご案

<4D F736F F F696E74202D DB A B C C815B E >

マルウエア感染などにより 不正な通信を行う端末を 即時に隔離 情報セキュリティ事故の増加 標的型攻撃やランサムウエアによる被害は近年の大きな脅威となっています 侵入の痕跡を隠しながら活動するマルウエアなど 手 段が高度化しています 万が一の重大な被害を回避するには 異常な状態を早期に検知するのと同時

スライドタイトル/TakaoPGothic

スライド 1

概要説明書

6118: (IMAP)Mac OS X Mail の設定方法 2014 年 7 月 1 日現在 IMAP を利用してメールサーバーにアクセスした場合 POP3 とは形式が異なり 読んだメールはパソコンに自動保存されませんのでご注意ください 大切なメールは リストの中から任意のフォルダにドラッグ &

Oracle Enterprise Managerシステム監視プラグイン・インストレーション・ガイドfor Juniper Networks NetScreen Firewall, 10gリリース2(10.2)

HDC-EDI Manager Ver レベルアップ詳細情報 < 製品一覧 > 製品名バージョン HDC-EDI Manager < 対応 JavaVM> Java 2 Software Development Kit, Standard Edition 1.4 Java 2

MRS-NXシリーズご利用ガイド

Active! mail 6 操作マニュアル 株式会社トランスウエア Copyright TransWare Co. All rights reserved.

HULFT-WebConnectサービス仕様書

TFTP serverの実装

Mobile Access IPSec VPN設定ガイド

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

起動する 起動方法は ご使用の OS により異なります 同一ネットワーク内で 本ソフトを複数台のパソコンから起動すると 本ソフト対応の LAN DISK にアクセスが集中し エラーとなる場合があります [ スタート ] メニュー [( すべての ) プログラム ] [I-O DATA] [LAN D

アルファメール 移行設定の手引き Outlook2016

<4D F736F F D2089E696CA8F4390B35F B838B CA816A>

アカウント管理者 操作ドキュメント

1 はじめに はじめに 制限事項 注意事項 お問い合わせ窓口 メールの利用 ( ブラウザを利用 ) OUTLOOK WEB APP への接続方法 EXCHANGE ONLINE の画面構成...

HULFT-WebConnect サービス仕様書

(Microsoft PowerPoint - TASKalfa552ci\274\330\260\275\336_E\322\260\331\221\227\220M\220\335\222\350Ver1.4.ppt)

1.indd

Office365  Outlook

公立大学法人首都大学東京

Trend Micro Cloud App Security ご紹介資料

ネットワーク管理規程 1 趣旨 対象者 対象システム 遵守事項 設置基準 導入時の遵守事項 共通の遵守事項 インターネット接続環境における導入時遵守事項 社

TGBrowserユーザマニュアル

6-3.OS セキュリティに関する知識 OS のセキュリティ機能として必要な機能と オープンソース OS とし Ⅰ. 概要てもっとも利用が期待される Linux のセキュリティ管理に関して 電子メール Web CGI DNS などの具体的な管理手法について学ぶ Ⅱ. 対象専門分野職種共通 Ⅲ. 受講

Transcription:

サイバー攻撃 ( 標的型攻撃 ) 対策防御モデルの解説 付録 2 システムログ一覧 ()

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウンドインタフェース アウトバウンドインタフェース MACアドレス パケットサイズ 転送バイト数 IPパケット優先度 (TOS,PREC) IPパケット生存期間 (TTL) IPフラグメントパケット識別子 (ID) IPフラグメンテーション情報 (DFビット) ソースIPアドレス 接続元 IPアドレス ソースポート番号 接続元ポート番号 宛先 IPアドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル TCPウインドウサイズ (WINDOW) TCPフラグ 日時 送信元アドレス 送信元ポート番号 宛先アドレス 宛先ポート番号 同一セッションの送受信バイト数 同一セッションの送受信パケット数 プロトコル セッション継続時間 セッションのユーザ名 URL ファイル名 脅威情報 リモートホスト名またはIPアドレス 接続元 IPアドレス クライアントの識別子 認証されたユーザー名 ログインユーザ名 日時 リクエストの最初の行の値 接続先 URL 最後のレスポンスのステータス ステータスコード 送信されたバイト数 ( ヘッダーは含まず ) 転送バイト数 リクエストに含まれるRefererの値 リファラ リクエストに含まれるUserAgentの値 ( ブラウザ情報 ) ユーザエージェント 日時 エラーの重要度 アクセスしたクライアントのIPアドレス 接続元 IPアドレス メッセージ 日時 リモートホスト名 SSLプロトコルバージョン SSL 暗号 リクエストの最初の行の値 送信されたバイト数 ( ヘッダーは含まず ) リモートホスト名またはIPアドレス 接続元 IPアドレス 認証されたユーザー名 ログインユーザ名 日時 メソッドとURL 接続先 URL HTTPステータスコード ステータスコード レスポンスサイズ 日時 ログを生成したスレッド ログレベル カテゴリー名 メッセージ 日時 ログを生成したスレッド ログレベル カテゴリー名 メッセージ 日時 メッセージ UTCの時間 日時 継続時間 セッション継続時間 クライアントのIPアドレス 接続元 IPアドレス リザルトコード ( 結果コード ) ステータスコード 転送バイト数 転送バイト数 リクエストメソッド リクエストメソッド URL 接続先 URL 非経由 非信頼信頼ドドメイメインン経由 非経由

1. プロキスサーバ DNS サーバ メールサーバ スイッチ / ルータ ドメインコント内部セグローラーメント DHCP サーバ DNS サーバ ( 内部 DNS) 非 非経由 非信頼信頼ドドメイメインン経由 階層コード 接続先 IPアドレス HTTPヘッダにリプライされてきたオブジェクトのコンテンツタイプ ファイル形式 UserAgent ユーザエージェント 動作ログ ( エラーログ デバッ日時 グログ キャッシュ ) メッセージ デバッグログ 日時 メッセージ ( エラーやデバックメッセージ ) 日時 ログカテゴリ クライアントのIPアドレスとポート番号接続元 IPアドレス ファシリティ ( ログの分類 ) ゾーン情報 リクエストドメイン名 DNSリクエストレコードタイプ 日時 サーバホスト名 プロセスの情報 ( プロセスの所有者とプロセスID) メッセージID (Sendmailによって送信されたメッセージに割り当てられたID) メッセージの受信者または送信者 送信元 / 送信先メールアドレス / ドメイン メッセージサイズ 転送バイト数 メッセージ優先度 メッセージ受信者数 メッセージ受信者数 メッセージ識別番号 プロトコル情報 サーバデーモン名 メッセージ送信サーバとIPアドレス 接続元 IPアドレス ステータス 添付ファイル名 添付ファイル名 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 同一フローの送受信バイト数 転送バイト数 同一フローの送受信パケット数 転送バイト数 ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 日時 ホスト名またはIPアドレス MACアドレス 状態 ログの名前 ソース 日時 イベントID タスクのカテゴリ レベル キーワード ユーザー コンピュータ オペコード 非経由

1. 内部セグメント ファイルサーバ (Windows) (Linux) (OS) イベントログ プリフェッチ レジストリ スクリーンセーバー タスクスケジューラ ファイルの履歴 プロセスログ メッセージログ cron ログ カーネルログ セキュリティログ システムコールログ ファイル操作ログ プロセス操作ログ レジストリ操作ログ API 操作ログ 非 非経由 非信頼信頼ドドメイメインン経由 ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 日時 ファイル名 ファイル名 自動起動のファイル名 ファイル名 接続したUSBメモリ等の情報 接続デバイス名 起動するスクリーンセーバー ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 以前のバージョン情報 日時 プロセスID タイプ ファイル名 プロセス名 日時 ログを出力したホスト名 メッセージの出力元 メッセージ 日時 ログを出力したホスト名 メッセージの出力元 メッセージ 日時 ログを出力したホスト名 ワークステーション名 メッセージの出力元 メッセージ 接続デバイス名 日時 ログを出力したホスト名 メッセージの出力元 接続元 IPアドレス メッセージ ログインユーザ名 認証成否結果 日時 プロセスID プロセス名 プロセス名 ファイルパス ファイルパス 日時 親プロセスID プロセスID プロセス名 プロセス名 コマンドライン ファイルパス 日時 プロセスID キー レジストリキー 値 レジストリ値 データ 日時 プロセスID API 名 API 名 APIの引数 APIの戻り値 非経由

1. 内部セグメント ( ブラウザ ) (AntiVirus) 非 非経由 日時 URL 接続先 URL スキャン日時 プロセスID プロセス名 スキャン結果 非信頼信頼ドドメイメインン経由 非経由

1. 対策強化機器 L7FW (NGFW,APFW) DLP (Data Loss Prevention) Mail ゲートウェイ WAF サンドボックス 改ざん検知 非 非経由 非信頼信頼ドドメイメインン経由 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 同一セッションの送受信バイト数 転送バイト数 同一セッションの送受信パケット数 転送バイト数 プロトコル 通信アプリケーション名 セッション継続時間 セッション継続時間 セッションのユーザ名 アカウント名 URL 接続先 URL ファイル名 ファイル名 脅威情報 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル 通信アプリケーション名 URL 接続先 URL 検知キーワード 検知キーワード 検知ファイル名 ファイル名 日時 サーバホスト名 メッセージID メッセージの受信者または送信者 送信元 / 送信先メールアドレス / ドメイン メッセージサイズ メッセージ受信者数 プロトコル情報 メッセージ送信サーバとIPアドレス 接続元 IPアドレス ステータス 件名 件名 検知名 検知ファイル名 検知 URL 日時 ログID 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 検知タイプ 優先度 アラートメッセージID アラートメッセージIDに紐づく検知項目 (URL 含む ) 日時 ログID 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル URL 接続先 URL ファイル名 ファイル名 ファイルタイプ ファイル形式 ファイルサイズ ファイルサイズ ファイルハッシュ値 ファイルハッシュ値 悪性判定結果 マルウェアのファイル操作ログ マルウェアのプロセス操作ログ マルウェアのレジストリ操作ログ マルウェアのAPI 呼出し マルウェアの通信先アドレス / ポート番号 日時 ログID 改ざん内容 ( ファイルサイズ変化 : 旧 新 ) ファイルサイズ変化 検知ルール名 ( 追加 / 削除 / 編集 ) イベント名 検知ファイル名 ファイル名 ユーザ名 ( 検知した操作を行ったOSのアカウント名 ) アカウント名 非経由

1. 対策強化機器 内部セグメント ホスト型 IPS/IDS 非 非経由 非信頼信頼ドドメイメインン経由 日時 ログID ホストIPアドレス ホスト名 検知ルール 検知したファイル操作 検知したプロセス操作 検知したレジストリ操作 検知したAPI 呼出し 日時 ログID ホストIPアドレス ホスト名 検知ルール 検知したファイル操作 検知したプロセス操作 検知したレジストリ操作 検知したAPI 呼出し 非経由

付録 2 システムログ一覧 () 攻撃経路 2. 標的組織の公開サービス ホスト ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウンドインタフェース アウトバウンドインタフェース MACアドレス パケットサイズ 転送バイト数 IPパケット優先度 (TOS,PREC) IPパケット生存期間 (TTL) IPフラグメントパケット識別子 (ID) IPフラグメンテーション情報 (DFビット) ソースIPアドレス 接続元 IPアドレス ソースポート番号 接続元ポート番号 宛先 IPアドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル TCPウインドウサイズ (WINDOW) TCPフラグ 日時 送信元アドレス 送信元ポート番号 宛先アドレス 宛先ポート番号 同一セッションの送受信バイト数 同一セッションの送受信パケット数 プロトコル セッション継続時間 セッションのユーザ名 URL ファイル名 脅威情報 リモートホスト名またはIPアドレス 接続元 IPアドレス クライアントの識別子 認証されたユーザー名 ログインユーザ名 日時 リクエストの最初の行の値 接続先 URL 最後のレスポンスのステータス ステータスコード 送信されたバイト数 ( ヘッダーは含まず ) 転送バイト数 リクエストに含まれるRefererの値 リファラ リクエストに含まれるUserAgentの値 ( ブラウザ情報 ) ユーザエージェント 日時 エラーの重要度 アクセスしたクライアントのIPアドレス 接続元 IPアドレス メッセージ 日時 リモートホスト名 SSLプロトコルバージョン SSL 暗号 リクエストの最初の行の値 送信されたバイト数 ( ヘッダーは含まず ) リモートホスト名またはIPアドレス 接続元 IPアドレス 認証されたユーザー名 ログインユーザ名 日時 メソッドとURL 接続先 URL HTTPステータスコード ステータスコード レスポンスサイズ 日時 ログを生成したスレッド ログレベル カテゴリー名 メッセージ 日時 ログを生成したスレッド ログレベル カテゴリー名 メッセージ 日時 メッセージ UTCの時間 日時 継続時間 セッション継続時間 クライアントのIPアドレス 接続元 IPアドレス リザルトコード ( 結果コード ) ステータスコード 転送バイト数 転送バイト数 リクエストメソッド リクエストメソッド URL 接続先 URL 非経由 非信頼信頼ドドメイメインン経由 非経由

2. 標的組織の公開サービス ホスト プロキスサーバ DNS サーバ メールサーバ スイッチ / ルータ ドメインコント内部セグローラーメント DHCP サーバ DNS サーバ ( 内部 DNS) 非 非経由 非信頼信頼ドドメイメインン経由 階層コード 接続先 IPアドレス HTTPヘッダにリプライされてきたオブジェクトのコンテンツタイプ ファイル形式 UserAgent ユーザエージェント 動作ログ ( エラーログ デバッ日時 グログ キャッシュ ) メッセージ デバッグログ 日時 メッセージ ( エラーやデバックメッセージ ) 日時 ログカテゴリ クライアントのIPアドレスとポート番号接続元 IPアドレス ファシリティ ( ログの分類 ) ゾーン情報 リクエストドメイン名 DNSリクエストレコードタイプ 日時 サーバホスト名 プロセスの情報 ( プロセスの所有者とプロセスID) メッセージID (Sendmailによって送信されたメッセージに割り当てられたID) メッセージの受信者または送信者 送信元 / 送信先メールアドレス / ドメイン メッセージサイズ 転送バイト数 メッセージ優先度 メッセージ受信者数 メッセージ受信者数 メッセージ識別番号 プロトコル情報 サーバデーモン名 メッセージ送信サーバとIPアドレス 接続元 IPアドレス ステータス 添付ファイル名 添付ファイル名 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 同一フローの送受信バイト数 転送バイト数 同一フローの送受信パケット数 転送バイト数 ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 日時 ホスト名またはIPアドレス MACアドレス 状態 ログの名前 ソース 日時 イベントID タスクのカテゴリ レベル キーワード ユーザー コンピュータ オペコード 非経由

2. 標的組織の公開サービス ホスト 内部セグメント ファイルサーバ (Windows) (Linux) (OS) イベントログ プリフェッチ レジストリ スクリーンセーバー タスクスケジューラ ファイルの履歴 プロセスログ メッセージログ cron ログ カーネルログ セキュリティログ システムコールログ ファイル操作ログ プロセス操作ログ レジストリ操作ログ API 操作ログ 非 非経由 非信頼信頼ドドメイメインン経由 ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 日時 ファイル名 ファイル名 自動起動のファイル名 ファイル名 接続したUSBメモリ等の情報 接続デバイス名 起動するスクリーンセーバー ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 以前のバージョン情報 日時 プロセスID タイプ ファイル名 プロセス名 日時 ログを出力したホスト名 メッセージの出力元 メッセージ 日時 ログを出力したホスト名 メッセージの出力元 メッセージ 日時 ログを出力したホスト名 ワークステーション名 メッセージの出力元 メッセージ 接続デバイス名 日時 ログを出力したホスト名 メッセージの出力元 接続元 IPアドレス メッセージ ログインユーザ名 認証成否結果 日時 プロセスID プロセス名 プロセス名 ファイルパス ファイルパス 日時 親プロセスID プロセスID プロセス名 プロセス名 コマンドライン ファイルパス 日時 プロセスID キー レジストリキー 値 レジストリ値 データ 日時 プロセスID API 名 API 名 APIの引数 APIの戻り値 非経由

2. 標的組織の公開サービス ホスト 内部セグメント ( ブラウザ ) (AntiVirus) 非 非経由 日時 URL 接続先 URL スキャン日時 プロセスID プロセス名 スキャン結果 非信頼信頼ドドメイメインン経由 非経由

2. 標的組織の公開サービス ホスト 対策強化機器 L7FW (NGFW,APFW) DLP (Data Loss Prevention) Mail ゲートウェイ WAF サンドボックス 改ざん検知 非 非経由 非信頼信頼ドドメイメインン経由 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 同一セッションの送受信バイト数 転送バイト数 同一セッションの送受信パケット数 転送バイト数 プロトコル 通信アプリケーション名 セッション継続時間 セッション継続時間 セッションのユーザ名 アカウント名 URL 接続先 URL ファイル名 ファイル名 脅威情報 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル 通信アプリケーション名 URL 接続先 URL 検知キーワード 検知キーワード 検知ファイル名 ファイル名 日時 サーバホスト名 メッセージID メッセージの受信者または送信者 送信元 / 送信先メールアドレス / ドメイン メッセージサイズ メッセージ受信者数 プロトコル情報 メッセージ送信サーバとIPアドレス 接続元 IPアドレス ステータス 件名 件名 検知名 検知ファイル名 検知 URL 日時 ログID 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 検知タイプ 優先度 アラートメッセージID アラートメッセージIDに紐づく検知項目 (URL 含む ) 日時 ログID 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル URL 接続先 URL ファイル名 ファイル名 ファイルタイプ ファイル形式 ファイルサイズ ファイルサイズ ファイルハッシュ値 ファイルハッシュ値 悪性判定結果 マルウェアのファイル操作ログ マルウェアのプロセス操作ログ マルウェアのレジストリ操作ログ マルウェアのAPI 呼出し マルウェアの通信先アドレス / ポート番号 日時 ログID 改ざん内容 ( ファイルサイズ変化 : 旧 新 ) ファイルサイズ変化 検知ルール名 ( 追加 / 削除 / 編集 ) イベント名 検知ファイル名 ファイル名 ユーザ名 ( 検知した操作を行ったOSのアカウント名 ) アカウント名 非経由

2. 標的組織の公開サービス ホスト 対策強化機器 内部セグメント ホスト型 IPS/IDS 非 非経由 非信頼信頼ドドメイメインン経由 日時 ログID ホストIPアドレス ホスト名 検知ルール 検知したファイル操作 検知したプロセス操作 検知したレジストリ操作 検知したAPI 呼出し 日時 ログID ホストIPアドレス ホスト名 検知ルール 検知したファイル操作 検知したプロセス操作 検知したレジストリ操作 検知したAPI 呼出し 非経由

付録 2 システムログ一覧 () 攻撃経路 3.USB 等の外部記憶媒体 ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウンドインタフェース アウトバウンドインタフェース MACアドレス パケットサイズ 転送バイト数 IPパケット優先度 (TOS,PREC) IPパケット生存期間 (TTL) IPフラグメントパケット識別子 (ID) IPフラグメンテーション情報 (DFビット) ソースIPアドレス 接続元 IPアドレス ソースポート番号 接続元ポート番号 宛先 IPアドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル TCPウインドウサイズ (WINDOW) TCPフラグ 日時 送信元アドレス 送信元ポート番号 宛先アドレス 宛先ポート番号 同一セッションの送受信バイト数 同一セッションの送受信パケット数 プロトコル セッション継続時間 セッションのユーザ名 URL ファイル名 脅威情報 リモートホスト名またはIPアドレス 接続元 IPアドレス クライアントの識別子 認証されたユーザー名 ログインユーザ名 日時 リクエストの最初の行の値 接続先 URL 最後のレスポンスのステータス ステータスコード 送信されたバイト数 ( ヘッダーは含まず ) 転送バイト数 リクエストに含まれるRefererの値 リファラ リクエストに含まれるUserAgentの値 ( ブラウザ情報 ) ユーザエージェント 日時 エラーの重要度 アクセスしたクライアントのIPアドレス 接続元 IPアドレス メッセージ 日時 リモートホスト名 SSLプロトコルバージョン SSL 暗号 リクエストの最初の行の値 送信されたバイト数 ( ヘッダーは含まず ) リモートホスト名またはIPアドレス 接続元 IPアドレス 認証されたユーザー名 ログインユーザ名 日時 メソッドとURL 接続先 URL HTTPステータスコード ステータスコード レスポンスサイズ 日時 ログを生成したスレッド ログレベル カテゴリー名 メッセージ 日時 ログを生成したスレッド ログレベル カテゴリー名 メッセージ 日時 メッセージ UTCの時間 日時 継続時間 セッション継続時間 クライアントのIPアドレス 接続元 IPアドレス リザルトコード ( 結果コード ) ステータスコード 転送バイト数 転送バイト数 リクエストメソッド リクエストメソッド URL 接続先 URL 非経由 非信頼信頼ドドメイメインン経由 非経由

3.USB 等の外部記憶媒体 プロキスサーバ DNS サーバ メールサーバ スイッチ / ルータ ドメインコント内部セグローラーメント DHCP サーバ DNS サーバ ( 内部 DNS) 非 非経由 非信頼信頼ドドメイメインン経由 階層コード 接続先 IPアドレス HTTPヘッダにリプライされてきたオブジェクトのコンテンツタイプ ファイル形式 UserAgent ユーザエージェント 動作ログ ( エラーログ デバッ日時 グログ キャッシュ ) メッセージ デバッグログ 日時 メッセージ ( エラーやデバックメッセージ ) 日時 ログカテゴリ クライアントのIPアドレスとポート番号接続元 IPアドレス ファシリティ ( ログの分類 ) ゾーン情報 リクエストドメイン名 DNSリクエストレコードタイプ 日時 サーバホスト名 プロセスの情報 ( プロセスの所有者とプロセスID) メッセージID (Sendmailによって送信されたメッセージに割り当てられたID) メッセージの受信者または送信者 送信元 / 送信先メールアドレス / ドメイン メッセージサイズ 転送バイト数 メッセージ優先度 メッセージ受信者数 メッセージ受信者数 メッセージ識別番号 プロトコル情報 サーバデーモン名 メッセージ送信サーバとIPアドレス 接続元 IPアドレス ステータス 添付ファイル名 添付ファイル名 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 同一フローの送受信バイト数 転送バイト数 同一フローの送受信パケット数 転送バイト数 ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 日時 ホスト名またはIPアドレス MACアドレス 状態 ログの名前 ソース 日時 イベントID タスクのカテゴリ レベル キーワード ユーザー コンピュータ オペコード 非経由

3.USB 等の外部記憶媒体 内部セグメント ファイルサーバ (Windows) (Linux) (OS) イベントログ プリフェッチ レジストリ スクリーンセーバー タスクスケジューラ ファイルの履歴 プロセスログ メッセージログ cron ログ カーネルログ セキュリティログ システムコールログ ファイル操作ログ プロセス操作ログ レジストリ操作ログ API 操作ログ 非 非経由 非信頼信頼ドドメイメインン経由 ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 日時 ファイル名 ファイル名 自動起動のファイル名 ファイル名 接続したUSBメモリ等の情報 接続デバイス名 起動するスクリーンセーバー ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 以前のバージョン情報 日時 プロセスID タイプ ファイル名 プロセス名 日時 ログを出力したホスト名 メッセージの出力元 メッセージ 日時 ログを出力したホスト名 メッセージの出力元 メッセージ 日時 ログを出力したホスト名 ワークステーション名 メッセージの出力元 メッセージ 接続デバイス名 日時 ログを出力したホスト名 メッセージの出力元 接続元 IPアドレス メッセージ ログインユーザ名 認証成否結果 日時 プロセスID プロセス名 プロセス名 ファイルパス ファイルパス 日時 親プロセスID プロセスID プロセス名 プロセス名 コマンドライン ファイルパス 日時 プロセスID キー レジストリキー 値 レジストリ値 データ 日時 プロセスID API 名 API 名 APIの引数 APIの戻り値 非経由

3.USB 等の外部記憶媒体 内部セグメント ( ブラウザ ) (AntiVirus) 非 非経由 日時 URL 接続先 URL スキャン日時 プロセスID プロセス名 スキャン結果 非信頼信頼ドドメイメインン経由 非経由

3.USB 等の外部記憶媒体 対策強化機器 L7FW (NGFW,APFW) DLP (Data Loss Prevention) Mail ゲートウェイ WAF サンドボックス 改ざん検知 非 非経由 非信頼信頼ドドメイメインン経由 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 同一セッションの送受信バイト数 転送バイト数 同一セッションの送受信パケット数 転送バイト数 プロトコル 通信アプリケーション名 セッション継続時間 セッション継続時間 セッションのユーザ名 アカウント名 URL 接続先 URL ファイル名 ファイル名 脅威情報 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル 通信アプリケーション名 URL 接続先 URL 検知キーワード 検知キーワード 検知ファイル名 ファイル名 日時 サーバホスト名 メッセージID メッセージの受信者または送信者 送信元 / 送信先メールアドレス / ドメイン メッセージサイズ メッセージ受信者数 プロトコル情報 メッセージ送信サーバとIPアドレス 接続元 IPアドレス ステータス 件名 件名 検知名 検知ファイル名 検知 URL 日時 ログID 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 検知タイプ 優先度 アラートメッセージID アラートメッセージIDに紐づく検知項目 (URL 含む ) 日時 ログID 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル URL 接続先 URL ファイル名 ファイル名 ファイルタイプ ファイル形式 ファイルサイズ ファイルサイズ ファイルハッシュ値 ファイルハッシュ値 悪性判定結果 マルウェアのファイル操作ログ マルウェアのプロセス操作ログ マルウェアのレジストリ操作ログ マルウェアのAPI 呼出し マルウェアの通信先アドレス / ポート番号 日時 ログID 改ざん内容 ( ファイルサイズ変化 : 旧 新 ) ファイルサイズ変化 検知ルール名 ( 追加 / 削除 / 編集 ) イベント名 検知ファイル名 ファイル名 ユーザ名 ( 検知した操作を行ったOSのアカウント名 ) アカウント名 非経由

3.USB 等の外部記憶媒体 対策強化機器 内部セグメント ホスト型 IPS/IDS 非 非経由 非信頼信頼ドドメイメインン経由 日時 ログID ホストIPアドレス ホスト名 検知ルール 検知したファイル操作 検知したプロセス操作 検知したレジストリ操作 検知したAPI 呼出し 日時 ログID ホストIPアドレス ホスト名 検知ルール 検知したファイル操作 検知したプロセス操作 検知したレジストリ操作 検知したAPI 呼出し 非経由

付録 2 システムログ一覧 () 攻撃経路 4. 不正コード混入ソフトウェア ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウンドインタフェース アウトバウンドインタフェース MACアドレス パケットサイズ 転送バイト数 IPパケット優先度 (TOS,PREC) IPパケット生存期間 (TTL) IPフラグメントパケット識別子 (ID) IPフラグメンテーション情報 (DFビット) ソースIPアドレス 接続元 IPアドレス ソースポート番号 接続元ポート番号 宛先 IPアドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル TCPウインドウサイズ (WINDOW) TCPフラグ 日時 送信元アドレス 送信元ポート番号 宛先アドレス 宛先ポート番号 同一セッションの送受信バイト数 同一セッションの送受信パケット数 プロトコル セッション継続時間 セッションのユーザ名 URL ファイル名 脅威情報 リモートホスト名またはIPアドレス 接続元 IPアドレス クライアントの識別子 認証されたユーザー名 ログインユーザ名 日時 リクエストの最初の行の値 接続先 URL 最後のレスポンスのステータス ステータスコード 送信されたバイト数 ( ヘッダーは含まず ) 転送バイト数 リクエストに含まれるRefererの値 リファラ リクエストに含まれるUserAgentの値 ( ブラウザ情報 ) ユーザエージェント 日時 エラーの重要度 アクセスしたクライアントのIPアドレス 接続元 IPアドレス メッセージ 日時 リモートホスト名 SSLプロトコルバージョン SSL 暗号 リクエストの最初の行の値 送信されたバイト数 ( ヘッダーは含まず ) リモートホスト名またはIPアドレス 接続元 IPアドレス 認証されたユーザー名 ログインユーザ名 日時 メソッドとURL 接続先 URL HTTPステータスコード ステータスコード レスポンスサイズ 日時 ログを生成したスレッド ログレベル カテゴリー名 メッセージ 日時 ログを生成したスレッド ログレベル カテゴリー名 メッセージ 日時 メッセージ UTCの時間 日時 継続時間 セッション継続時間 クライアントのIPアドレス 接続元 IPアドレス リザルトコード ( 結果コード ) ステータスコード 転送バイト数 転送バイト数 リクエストメソッド リクエストメソッド URL 接続先 URL 非経由 非信頼信頼ドドメイメインン経由 非経由

4. 不正コード混入ソフトウェア プロキスサーバ DNS サーバ メールサーバ スイッチ / ルータ ドメインコント内部セグローラーメント DHCP サーバ DNS サーバ ( 内部 DNS) 非 非経由 非信頼信頼ドドメイメインン経由 階層コード 接続先 IPアドレス HTTPヘッダにリプライされてきたオブジェクトのコンテンツタイプ ファイル形式 UserAgent ユーザエージェント 動作ログ ( エラーログ デバッ日時 グログ キャッシュ ) メッセージ デバッグログ 日時 メッセージ ( エラーやデバックメッセージ ) 日時 ログカテゴリ クライアントのIPアドレスとポート番号接続元 IPアドレス ファシリティ ( ログの分類 ) ゾーン情報 リクエストドメイン名 DNSリクエストレコードタイプ 日時 サーバホスト名 プロセスの情報 ( プロセスの所有者とプロセスID) メッセージID (Sendmailによって送信されたメッセージに割り当てられたID) メッセージの受信者または送信者 送信元 / 送信先メールアドレス / ドメイン メッセージサイズ 転送バイト数 メッセージ優先度 メッセージ受信者数 メッセージ受信者数 メッセージ識別番号 プロトコル情報 サーバデーモン名 メッセージ送信サーバとIPアドレス 接続元 IPアドレス ステータス 添付ファイル名 添付ファイル名 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 同一フローの送受信バイト数 転送バイト数 同一フローの送受信パケット数 転送バイト数 ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 日時 ホスト名またはIPアドレス MACアドレス 状態 ログの名前 ソース 日時 イベントID タスクのカテゴリ レベル キーワード ユーザー コンピュータ オペコード 非経由

4. 不正コード混入ソフトウェア 内部セグメント ファイルサーバ (Windows) (Linux) (OS) イベントログ プリフェッチ レジストリ スクリーンセーバー タスクスケジューラ ファイルの履歴 プロセスログ メッセージログ cron ログ カーネルログ セキュリティログ システムコールログ ファイル操作ログ プロセス操作ログ レジストリ操作ログ API 操作ログ 非 非経由 非信頼信頼ドドメイメインン経由 ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 日時 ファイル名 ファイル名 自動起動のファイル名 ファイル名 接続したUSBメモリ等の情報 接続デバイス名 起動するスクリーンセーバー ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 以前のバージョン情報 日時 プロセスID タイプ ファイル名 プロセス名 日時 ログを出力したホスト名 メッセージの出力元 メッセージ 日時 ログを出力したホスト名 メッセージの出力元 メッセージ 日時 ログを出力したホスト名 ワークステーション名 メッセージの出力元 メッセージ 接続デバイス名 日時 ログを出力したホスト名 メッセージの出力元 接続元 IPアドレス メッセージ ログインユーザ名 認証成否結果 日時 プロセスID プロセス名 プロセス名 ファイルパス ファイルパス 日時 親プロセスID プロセスID プロセス名 プロセス名 コマンドライン ファイルパス 日時 プロセスID キー レジストリキー 値 レジストリ値 データ 日時 プロセスID API 名 API 名 APIの引数 APIの戻り値 非経由

4. 不正コード混入ソフトウェア 内部セグメント ( ブラウザ ) (AntiVirus) 非 非経由 日時 URL 接続先 URL スキャン日時 プロセスID プロセス名 スキャン結果 非信頼信頼ドドメイメインン経由 非経由

4. 不正コード混入ソフトウェア 対策強化機器 L7FW (NGFW,APFW) DLP (Data Loss Prevention) Mail ゲートウェイ WAF サンドボックス 改ざん検知 非 非経由 非信頼信頼ドドメイメインン経由 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 同一セッションの送受信バイト数 転送バイト数 同一セッションの送受信パケット数 転送バイト数 プロトコル 通信アプリケーション名 セッション継続時間 セッション継続時間 セッションのユーザ名 アカウント名 URL 接続先 URL ファイル名 ファイル名 脅威情報 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル 通信アプリケーション名 URL 接続先 URL 検知キーワード 検知キーワード 検知ファイル名 ファイル名 日時 サーバホスト名 メッセージID メッセージの受信者または送信者 送信元 / 送信先メールアドレス / ドメイン メッセージサイズ メッセージ受信者数 プロトコル情報 メッセージ送信サーバとIPアドレス 接続元 IPアドレス ステータス 件名 件名 検知名 検知ファイル名 検知 URL 日時 ログID 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 検知タイプ 優先度 アラートメッセージID アラートメッセージIDに紐づく検知項目 (URL 含む ) 日時 ログID 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル URL 接続先 URL ファイル名 ファイル名 ファイルタイプ ファイル形式 ファイルサイズ ファイルサイズ ファイルハッシュ値 ファイルハッシュ値 悪性判定結果 マルウェアのファイル操作ログ マルウェアのプロセス操作ログ マルウェアのレジストリ操作ログ マルウェアのAPI 呼出し マルウェアの通信先アドレス / ポート番号 日時 ログID 改ざん内容 ( ファイルサイズ変化 : 旧 新 ) ファイルサイズ変化 検知ルール名 ( 追加 / 削除 / 編集 ) イベント名 検知ファイル名 ファイル名 ユーザ名 ( 検知した操作を行ったOSのアカウント名 ) アカウント名 非経由

4. 不正コード混入ソフトウェア 対策強化機器 内部セグメント ホスト型 IPS/IDS 非 非経由 非信頼信頼ドドメイメインン経由 日時 ログID ホストIPアドレス ホスト名 検知ルール 検知したファイル操作 検知したプロセス操作 検知したレジストリ操作 検知したAPI 呼出し 日時 ログID ホストIPアドレス ホスト名 検知ルール 検知したファイル操作 検知したプロセス操作 検知したレジストリ操作 検知したAPI 呼出し 非経由

付録 2 システムログ一覧 () 攻撃経路 5. クラウドサービス ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウンドインタフェース アウトバウンドインタフェース MACアドレス パケットサイズ 転送バイト数 IPパケット優先度 (TOS,PREC) IPパケット生存期間 (TTL) IPフラグメントパケット識別子 (ID) IPフラグメンテーション情報 (DFビット) ソースIPアドレス 接続元 IPアドレス ソースポート番号 接続元ポート番号 宛先 IPアドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル TCPウインドウサイズ (WINDOW) TCPフラグ 日時 送信元アドレス 送信元ポート番号 宛先アドレス 宛先ポート番号 同一セッションの送受信バイト数 同一セッションの送受信パケット数 プロトコル セッション継続時間 セッションのユーザ名 URL ファイル名 脅威情報 リモートホスト名またはIPアドレス 接続元 IPアドレス クライアントの識別子 認証されたユーザー名 ログインユーザ名 日時 リクエストの最初の行の値 接続先 URL 最後のレスポンスのステータス ステータスコード 送信されたバイト数 ( ヘッダーは含まず ) 転送バイト数 リクエストに含まれるRefererの値 リファラ リクエストに含まれるUserAgentの値 ( ブラウザ情報 ) ユーザエージェント 日時 エラーの重要度 アクセスしたクライアントのIPアドレス 接続元 IPアドレス メッセージ 日時 リモートホスト名 SSLプロトコルバージョン SSL 暗号 リクエストの最初の行の値 送信されたバイト数 ( ヘッダーは含まず ) リモートホスト名またはIPアドレス 接続元 IPアドレス 認証されたユーザー名 ログインユーザ名 日時 メソッドとURL 接続先 URL HTTPステータスコード ステータスコード レスポンスサイズ 日時 ログを生成したスレッド ログレベル カテゴリー名 メッセージ 日時 ログを生成したスレッド ログレベル カテゴリー名 メッセージ 日時 メッセージ UTCの時間 日時 継続時間 セッション継続時間 クライアントのIPアドレス 接続元 IPアドレス リザルトコード ( 結果コード ) ステータスコード 転送バイト数 転送バイト数 リクエストメソッド リクエストメソッド URL 接続先 URL 非経由 非信頼信頼ドドメイメインン経由 非経由

5. クラウドサービス プロキスサーバ DNS サーバ メールサーバ スイッチ / ルータ ドメインコント内部セグローラーメント DHCP サーバ DNS サーバ ( 内部 DNS) 非 非経由 非信頼信頼ドドメイメインン経由 階層コード 接続先 IPアドレス HTTPヘッダにリプライされてきたオブジェクトのコンテンツタイプ ファイル形式 UserAgent ユーザエージェント 動作ログ ( エラーログ デバッ日時 グログ キャッシュ ) メッセージ デバッグログ 日時 メッセージ ( エラーやデバックメッセージ ) 日時 ログカテゴリ クライアントのIPアドレスとポート番号接続元 IPアドレス ファシリティ ( ログの分類 ) ゾーン情報 リクエストドメイン名 DNSリクエストレコードタイプ 日時 サーバホスト名 プロセスの情報 ( プロセスの所有者とプロセスID) メッセージID (Sendmailによって送信されたメッセージに割り当てられたID) メッセージの受信者または送信者 送信元 / 送信先メールアドレス / ドメイン メッセージサイズ 転送バイト数 メッセージ優先度 メッセージ受信者数 メッセージ受信者数 メッセージ識別番号 プロトコル情報 サーバデーモン名 メッセージ送信サーバとIPアドレス 接続元 IPアドレス ステータス 添付ファイル名 添付ファイル名 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 同一フローの送受信バイト数 転送バイト数 同一フローの送受信パケット数 転送バイト数 ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 日時 ホスト名またはIPアドレス MACアドレス 状態 ログの名前 ソース 日時 イベントID タスクのカテゴリ レベル キーワード ユーザー コンピュータ オペコード 非経由

5. クラウドサービス 内部セグメント ファイルサーバ (Windows) (Linux) (OS) イベントログ プリフェッチ レジストリ スクリーンセーバー タスクスケジューラ ファイルの履歴 プロセスログ メッセージログ cron ログ カーネルログ セキュリティログ システムコールログ ファイル操作ログ プロセス操作ログ レジストリ操作ログ API 操作ログ 非 非経由 非信頼信頼ドドメイメインン経由 ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 日時 ファイル名 ファイル名 自動起動のファイル名 ファイル名 接続したUSBメモリ等の情報 接続デバイス名 起動するスクリーンセーバー ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 以前のバージョン情報 日時 プロセスID タイプ ファイル名 プロセス名 日時 ログを出力したホスト名 メッセージの出力元 メッセージ 日時 ログを出力したホスト名 メッセージの出力元 メッセージ 日時 ログを出力したホスト名 ワークステーション名 メッセージの出力元 メッセージ 接続デバイス名 日時 ログを出力したホスト名 メッセージの出力元 接続元 IPアドレス メッセージ ログインユーザ名 認証成否結果 日時 プロセスID プロセス名 プロセス名 ファイルパス ファイルパス 日時 親プロセスID プロセスID プロセス名 プロセス名 コマンドライン ファイルパス 日時 プロセスID キー レジストリキー 値 レジストリ値 データ 日時 プロセスID API 名 API 名 APIの引数 APIの戻り値 非経由

5. クラウドサービス 内部セグメント ( ブラウザ ) (AntiVirus) 非 非経由 日時 URL 接続先 URL スキャン日時 プロセスID プロセス名 スキャン結果 非信頼信頼ドドメイメインン経由 非経由

5. クラウドサービス 対策強化機器 L7FW (NGFW,APFW) DLP (Data Loss Prevention) Mail ゲートウェイ WAF サンドボックス 改ざん検知 非 非経由 非信頼信頼ドドメイメインン経由 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 同一セッションの送受信バイト数 転送バイト数 同一セッションの送受信パケット数 転送バイト数 プロトコル 通信アプリケーション名 セッション継続時間 セッション継続時間 セッションのユーザ名 アカウント名 URL 接続先 URL ファイル名 ファイル名 脅威情報 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル 通信アプリケーション名 URL 接続先 URL 検知キーワード 検知キーワード 検知ファイル名 ファイル名 日時 サーバホスト名 メッセージID メッセージの受信者または送信者 送信元 / 送信先メールアドレス / ドメイン メッセージサイズ メッセージ受信者数 プロトコル情報 メッセージ送信サーバとIPアドレス 接続元 IPアドレス ステータス 件名 件名 検知名 検知ファイル名 検知 URL 日時 ログID 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 検知タイプ 優先度 アラートメッセージID アラートメッセージIDに紐づく検知項目 (URL 含む ) 日時 ログID 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル URL 接続先 URL ファイル名 ファイル名 ファイルタイプ ファイル形式 ファイルサイズ ファイルサイズ ファイルハッシュ値 ファイルハッシュ値 悪性判定結果 マルウェアのファイル操作ログ マルウェアのプロセス操作ログ マルウェアのレジストリ操作ログ マルウェアのAPI 呼出し マルウェアの通信先アドレス / ポート番号 日時 ログID 改ざん内容 ( ファイルサイズ変化 : 旧 新 ) ファイルサイズ変化 検知ルール名 ( 追加 / 削除 / 編集 ) イベント名 検知ファイル名 ファイル名 ユーザ名 ( 検知した操作を行ったOSのアカウント名 ) アカウント名 非経由

5. クラウドサービス 対策強化機器 内部セグメント ホスト型 IPS/IDS 非 非経由 非信頼信頼ドドメイメインン経由 日時 ログID ホストIPアドレス ホスト名 検知ルール 検知したファイル操作 検知したプロセス操作 検知したレジストリ操作 検知したAPI 呼出し 日時 ログID ホストIPアドレス ホスト名 検知ルール 検知したファイル操作 検知したプロセス操作 検知したレジストリ操作 検知したAPI 呼出し 非経由

付録 2 システムログ一覧 () 攻撃経路 6. 保守業者持込機器 ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウンドインタフェース アウトバウンドインタフェース MACアドレス パケットサイズ 転送バイト数 IPパケット優先度 (TOS,PREC) IPパケット生存期間 (TTL) IPフラグメントパケット識別子 (ID) IPフラグメンテーション情報 (DFビット) ソースIPアドレス 接続元 IPアドレス ソースポート番号 接続元ポート番号 宛先 IPアドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル TCPウインドウサイズ (WINDOW) TCPフラグ 日時 送信元アドレス 送信元ポート番号 宛先アドレス 宛先ポート番号 同一セッションの送受信バイト数 同一セッションの送受信パケット数 プロトコル セッション継続時間 セッションのユーザ名 URL ファイル名 脅威情報 リモートホスト名またはIPアドレス 接続元 IPアドレス クライアントの識別子 認証されたユーザー名 ログインユーザ名 日時 リクエストの最初の行の値 接続先 URL 最後のレスポンスのステータス ステータスコード 送信されたバイト数 ( ヘッダーは含まず ) 転送バイト数 リクエストに含まれるRefererの値 リファラ リクエストに含まれるUserAgentの値 ( ブラウザ情報 ) ユーザエージェント 日時 エラーの重要度 アクセスしたクライアントのIPアドレス 接続元 IPアドレス メッセージ 日時 リモートホスト名 SSLプロトコルバージョン SSL 暗号 リクエストの最初の行の値 送信されたバイト数 ( ヘッダーは含まず ) リモートホスト名またはIPアドレス 接続元 IPアドレス 認証されたユーザー名 ログインユーザ名 日時 メソッドとURL 接続先 URL HTTPステータスコード ステータスコード レスポンスサイズ 日時 ログを生成したスレッド ログレベル カテゴリー名 メッセージ 日時 ログを生成したスレッド ログレベル カテゴリー名 メッセージ 日時 メッセージ UTCの時間 日時 継続時間 セッション継続時間 クライアントのIPアドレス 接続元 IPアドレス リザルトコード ( 結果コード ) ステータスコード 転送バイト数 転送バイト数 リクエストメソッド リクエストメソッド URL 接続先 URL 非経由 非信頼信頼ドドメイメインン経由 非経由

6. 保守業者持込機器 プロキスサーバ DNS サーバ メールサーバ スイッチ / ルータ ドメインコント内部セグローラーメント DHCP サーバ DNS サーバ ( 内部 DNS) 非 非経由 非信頼信頼ドドメイメインン経由 階層コード 接続先 IPアドレス HTTPヘッダにリプライされてきたオブジェクトのコンテンツタイプ ファイル形式 UserAgent ユーザエージェント 動作ログ ( エラーログ デバッ日時 グログ キャッシュ ) メッセージ デバッグログ 日時 メッセージ ( エラーやデバックメッセージ ) 日時 ログカテゴリ クライアントのIPアドレスとポート番号接続元 IPアドレス ファシリティ ( ログの分類 ) ゾーン情報 リクエストドメイン名 DNSリクエストレコードタイプ 日時 サーバホスト名 プロセスの情報 ( プロセスの所有者とプロセスID) メッセージID (Sendmailによって送信されたメッセージに割り当てられたID) メッセージの受信者または送信者 送信元 / 送信先メールアドレス / ドメイン メッセージサイズ 転送バイト数 メッセージ優先度 メッセージ受信者数 メッセージ受信者数 メッセージ識別番号 プロトコル情報 サーバデーモン名 メッセージ送信サーバとIPアドレス 接続元 IPアドレス ステータス 添付ファイル名 添付ファイル名 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 同一フローの送受信バイト数 転送バイト数 同一フローの送受信パケット数 転送バイト数 ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 日時 ホスト名またはIPアドレス MACアドレス 状態 ログの名前 ソース 日時 イベントID タスクのカテゴリ レベル キーワード ユーザー コンピュータ オペコード 非経由

6. 保守業者持込機器 内部セグメント ファイルサーバ (Windows) (Linux) (OS) イベントログ プリフェッチ レジストリ スクリーンセーバー タスクスケジューラ ファイルの履歴 プロセスログ メッセージログ cron ログ カーネルログ セキュリティログ システムコールログ ファイル操作ログ プロセス操作ログ レジストリ操作ログ API 操作ログ 非 非経由 非信頼信頼ドドメイメインン経由 ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 日時 ファイル名 ファイル名 自動起動のファイル名 ファイル名 接続したUSBメモリ等の情報 接続デバイス名 起動するスクリーンセーバー ログの名前 ソース 日時 イベントID エラーコード タスクのカテゴリ レベル キーワード イベント名 ユーザー アカウント名 コンピュータ ワークステーション名 オペコード 以前のバージョン情報 日時 プロセスID タイプ ファイル名 プロセス名 日時 ログを出力したホスト名 メッセージの出力元 メッセージ 日時 ログを出力したホスト名 メッセージの出力元 メッセージ 日時 ログを出力したホスト名 ワークステーション名 メッセージの出力元 メッセージ 接続デバイス名 日時 ログを出力したホスト名 メッセージの出力元 接続元 IPアドレス メッセージ ログインユーザ名 認証成否結果 日時 プロセスID プロセス名 プロセス名 ファイルパス ファイルパス 日時 親プロセスID プロセスID プロセス名 プロセス名 コマンドライン ファイルパス 日時 プロセスID キー レジストリキー 値 レジストリ値 データ 日時 プロセスID API 名 API 名 APIの引数 APIの戻り値 非経由

6. 保守業者持込機器 内部セグメント ( ブラウザ ) (AntiVirus) 非 非経由 日時 URL 接続先 URL スキャン日時 プロセスID プロセス名 スキャン結果 非信頼信頼ドドメイメインン経由 非経由

6. 保守業者持込機器 対策強化機器 L7FW (NGFW,APFW) DLP (Data Loss Prevention) Mail ゲートウェイ WAF サンドボックス 改ざん検知 非 非経由 非信頼信頼ドドメイメインン経由 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 同一セッションの送受信バイト数 転送バイト数 同一セッションの送受信パケット数 転送バイト数 プロトコル 通信アプリケーション名 セッション継続時間 セッション継続時間 セッションのユーザ名 アカウント名 URL 接続先 URL ファイル名 ファイル名 脅威情報 日時 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル 通信アプリケーション名 URL 接続先 URL 検知キーワード 検知キーワード 検知ファイル名 ファイル名 日時 サーバホスト名 メッセージID メッセージの受信者または送信者 送信元 / 送信先メールアドレス / ドメイン メッセージサイズ メッセージ受信者数 プロトコル情報 メッセージ送信サーバとIPアドレス 接続元 IPアドレス ステータス 件名 件名 検知名 検知ファイル名 検知 URL 日時 ログID 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 検知タイプ 優先度 アラートメッセージID アラートメッセージIDに紐づく検知項目 (URL 含む ) 日時 ログID 送信元アドレス 接続元 IPアドレス 送信元ポート番号 接続元ポート番号 宛先アドレス 接続先 IPアドレス 宛先ポート番号 接続先ポート番号 プロトコル URL 接続先 URL ファイル名 ファイル名 ファイルタイプ ファイル形式 ファイルサイズ ファイルサイズ ファイルハッシュ値 ファイルハッシュ値 悪性判定結果 マルウェアのファイル操作ログ マルウェアのプロセス操作ログ マルウェアのレジストリ操作ログ マルウェアのAPI 呼出し マルウェアの通信先アドレス / ポート番号 日時 ログID 改ざん内容 ( ファイルサイズ変化 : 旧 新 ) ファイルサイズ変化 検知ルール名 ( 追加 / 削除 / 編集 ) イベント名 検知ファイル名 ファイル名 ユーザ名 ( 検知した操作を行ったOSのアカウント名 ) アカウント名 非経由

6. 保守業者持込機器 対策強化機器 内部セグメント ホスト型 IPS/IDS 非 非経由 非信頼信頼ドドメイメインン経由 日時 ログID ホストIPアドレス ホスト名 検知ルール 検知したファイル操作 検知したプロセス操作 検知したレジストリ操作 検知したAPI 呼出し 日時 ログID ホストIPアドレス ホスト名 検知ルール 検知したファイル操作 検知したプロセス操作 検知したレジストリ操作 検知したAPI 呼出し 非経由

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック