プレスリリース
ランサムウェア対策に有効なGraylog Content Packs 「windows_authentication」を無償公開
~ Windows認証ログ可視化・異常検知を効率化 ~
オープンソースソフトウェア※1(以下、OSS)に特化したIT企業である株式会社デージーネット(本社:愛知県名古屋市、代表取締役:恒川 裕康、TOKYO PRO Market:371A、以下 デージーネット)は、Windows認証ログの監視・可視化・異常検知ができる設定を「windows_authentication」としてパッケージ化し、「Graylog(グレイログ)」向けのContent Packsとして無償公開します。なお、「windows_authentication」の利用マニュアルは、ホームページで公開いたします。
認証失敗イベントの可視化イメージ
■公開の背景
近年、企業や自治体を狙ったランサムウェア攻撃や不正アクセス被害が増加しており、サイバーセキュリティ対策の重要性が高まっています。特に、IDやパスワードを悪用した認証突破を起点とする攻撃も多く、従来の境界型防御だけではなく、「ゼロトラスト」の考え方に基づいた継続的な監視が求められています。
こうした情勢の中、Windows環境においても、不正アクセスの兆候や設定不備、利用者の誤操作などを早期に検知するため、認証関連のイベントログの監視の重要性が高まっています。特に、同一IPアドレスからの認証失敗の繰り返しや、管理者アカウントに対する失敗イベントは、攻撃や不正試行の兆候として早期に把握しなければなりません。しかし、ログオン失敗や認証失敗といったイベントログは日々大量に出力されるため、これらを個別にログ検索して確認する運用では、担当者の負担が大きく、異常の見落としにもつながりかねません。また、ログ収集後の可視化やアラート設定など、監視環境を一から構築しようと思うと時間がかかります。
デージーネットは、こうした社会情勢をふまえ、より多くの企業でセキュリティ対策を講じることができるよう、GraylogのContent Packs用に「windows_authentication」のJSONファイルを作成し、無償で公開しました。
Graylog Content Packs “windows_authentication” マニュアル
https://www.designet.co.jp/ossinfo/graylog/graylog-windows_authentication/
■Graylogとは
Graylogとは、GUI(※2)からログサーバの管理やログの参照、検査、可視化などを行うことができる統合ログ管理ソフトウェアです。OSSとして提供されているため、ライセンス費用はかからず、カスタマイズの自由度も高いのがメリットです。そのため、コストを抑えながら、プラグインや拡張機能を活用して自社の要件に合わせた最適な監視環境を素早く構築することが可能です。
■GraylogのContent Packs機能とは
Graylogには、Graylogの監視設定をまとめて配布・再利用できるContent Packsというテンプレート機能があります。ダッシュボード、ログの受信設定、ログの検知ルールなどの構成をJSONファイルとしてまとめ、別のGraylog環境へアップロードしてインストールすることができます。つまり、ログの受信設定や可視化、検知ルールのひな形をパッケージ化して配布するような使い方が可能となります。
■「windows_authentication」の概要
この度デージーネットでは、Windowsの認証失敗系イベントを対象にしたGraylogのContent Packs用に「windows_authentication」のJSONファイルを作成しました。
・4625:Windowsへのログオン失敗
・4771:Kerberos事前認証の失敗(Active Directory(※3)環境)
・4776:NTLM認証の資格情報チェック結果
「windows_authentication」を導入することで、Graylogのダッシュボード上で次のような情報を可視化できます。
・直近の認証失敗イベント一覧
・イベントを発生させたユーザ別の件数
・接続元IPアドレス別の件数
・発生ホスト別の件数
・時間帯ごとの発生件数推移
・イベントIDごとの発生割合
Windows認証ログ監視ダッシュボード
これにより、「どのユーザで失敗が多いのか」「どの接続元IPから試行が多いのか」「いつ集中して発生しているのか」といった状況を、画面上で直感的に把握できます。
さらに、以下のような条件に該当した場合、管理者はメールによるアラート通知で異常を即座に把握できます。
・指定時間内に複数回イベントが発生した場合
・同一の接続元IPアドレスから短時間に複数回イベントが発生した場合
・管理者ユーザでイベントが発生した場合
異常検知時のアラートメール
そのため、ログの蓄積だけでなく、異常の早期検知につなげられる点が大きな特徴です。
■「windows_authentication」の利用メリット
「windows_authentication」を利用することで、以下のメリットがあります。
・セキュリティ監視環境を短期間で導入可能
通常、Windowsの認証ログ監視を行うには、ログの受信設定やダッシュボードの作成、アラート通知設定などを個別に構築する必要があります。「windows_authentication」を利用することで、これらの構成をまとめて導入できるため、監視環境の初期構築工数を削減し、運用開始までの期間を短縮することができます。
・不正アクセスの兆候を早期に把握可能
Windowsの認証ログを継続的に監視することで、同一IPアドレスからの認証失敗の繰り返しや、管理者アカウントへの不審なアクセス試行など、不正アクセスの兆候を早期に把握できます。これにより、ランサムウェア感染やアカウント侵害につながる攻撃への迅速な対応を支援します。
・ログ監視運用の負担を軽減
ダッシュボードによるログの可視化やアラート通知を活用することで、認証失敗イベントの発生状況を直感的に把握できます。これにより、日々大量に出力されるログを個別に確認する負担を軽減し、効率的なセキュリティ運用を実現します。
・OSSを活用した低コストなセキュリティ監視を実現
Graylogおよび「windows_authentication」を利用することで、OSSのみを活用してログ監視・可視化のシステムを構成することができます。そのため、ライセンスコストを抑えながら、実践的なログ監視・セキュリティ監視環境を構築できます。
■デージーネットのサービス
デージーネットでは、Graylogを活用したログ管理・監視基盤の構築をご提案しております。今回ご紹介した「windows_authentication」のように、現場ですぐに活用できる構成をContent Packsとして整備することで、導入負荷を抑えながら実用的な監視環境をご提供できます。
1. システムの構築
デージーネットでは、OSSを使って管理しやすいシステムを構築するサービスを提供しています。デージーネットで利用しているOSSは多岐にわたり、お客様に合ったOSSでシステム構築を行うことが可能です。
2. 導入後支援サービス
デージーネットでシステムを構築した場合、OpenSmartAssistanceという導入後サポートを提供しています。継続してシステム管理のサポートを行うサービスで、以下のようなサポートがあります。
・Q&A
・セキュリティ情報提供
・点検とチューニング
・障害調査、障害回避
・障害時オンサイト対応
・障害時システム再構築
・運用サービス
・ソフトウェアのアップデート
■参考URL
・Graylog~ログ管理の課題を解決するOSS~
https://www.designet.co.jp/ossinfo/graylog/
・WindowsイベントログをGraylogで監視・可視化する方法
https://www.designet.co.jp/ossinfo/graylog/graylog-content-Packs_windows_authentication/
・Graylog Content Packs “windows_authentication” マニュアル
http://www.designet.co.jp/ossinfo/graylog/graylog-windows_authentication/
■用語注釈
(※1) オープンソースソフトウェア(略称:OSS)とは、無償で利用でき、ソースコードが公開されているソフトウェアのことです。
(※2) GUI(Graphical User Interface)とは、画面上のボタンやメニューなどを操作して利用できるユーザインタフェースのことです。
(※3) Active Directoryとは、Microsoftが提供するユーザ認証やアクセス管理を行うディレクトリサービスです。
■会社概要
会社名: 株式会社デージーネット
(TOKYO PRO Market 証券コード:371A)
代表者: 代表取締役 恒川 裕康
本社 : 〒465-0025 愛知県名古屋市名東区上社四丁目39-1
資本金: 4,000万円
URL : https://www.designet.co.jp/
TEL : 052-709-7121
FAX : 052-709-7122
<一般の方からのお問い合わせ先>