ADAudit Plusで実現する
Active Directory監査のベストプラクティス
Active Directoryのログ監査を行うにあたり、JPCERTコーディネーションセンター(JPCERT/CC)やMicrosoftからも注視すべきイベントログが示されています。
ADAudit Plusは、上記のようなログを自動で収集/集計し、視覚的に分かり易いレポートとして出力したり、アラート通知の設定を行うために活用できます。
【JPCERT/CC推奨のイベントログ監査への対応】
ADAudit Plusは、2017年にJPCERT/CCが公開した文書「ログを活用したActive Directoryに対する攻撃の検知と対策」で監査が推奨されている、以下のイベントログ収集に対応しています。
| イベントID | 説明 |
|---|---|
| 4698 | スケジュールされたタスクの作成 |
| 1102 | イベントログの消去 |
| 4624 | ログインの成功 |
| 4625 | ログインの失敗 |
| 4768 | Kerberos 認証 (TGT 要求) |
| 4769 | Kerberos 認証 (ST 要求) |
| 4776 | NTLM 認証 |
| 4672 | 特権の割り当て |
【Microsoft推奨のイベントログ監査への対応】
ADAudit Plusは、Microsoftが公開している「Best Practices for Securing Active Directory」の内、監視が推奨されているイベントログ(重要度「高」)の収集に対応しています。
| イベントID | 説明 |
|---|---|
| 4618 | 監視されるセキュリティイベントパターンが発生しました。 |
| 4649 | リプレイ攻撃が検出されました。構成が正しくないエラーのための無害な誤検知があります。 |
| 4719 | システム監査ポリシーが変更されました。 |
| 4765 | SID履歴がアカウントに追加されました。 |
| 4766 | SIDの履歴をアカウントに追加できませんでした。 |
| 4794 | ディレクトリサービス復元モードの設定が試行されました。 |
| 4897 | 役割の分離が有効になっています。 |
| 4964 | 特別なグループが新しいログオンに割り当てられています。 |
| 5124 | セキュリティの設定は、OCSPレスポンダーサービスに更新されました。 |
JPCERT/CCの公開文書に加え、上記で監視が推奨されているイベントログを収集・保管し、視覚的に見易いレポートとして出力したり、リアルタイムのアラート通知を設定したりするために、ADAudit Plusは有用です。ぜひご利用ください。
JPCERT/CC公開文書の解説/対策紹介記事
JPCERT/CCが公開している文書「ログを活用したActive Directoryに対する攻撃の検知と対策(1.2版)」の3章/4章/5章では、サイバー攻撃者がActive Directoryを攻撃する際の手法や攻撃を検知/予防するための方法が紹介されています。
以下の項目において、ManageEngineでは解説/対策紹介記事を公開しております。ぜひご参照ください。
なお、Active Directoryのセキュリティ対策を行うための包括的なソリューション提案は「Active Directoryのセキュリティ対策ソリューション」ページでもご紹介しております。
| 3. Active Directory に対する攻撃手法 | |
|---|---|
| 3.1. Active Directory の脆弱性の悪用 | |
| 3.2. 端末に保存された認証情報の悪用 | |
| 3.2.1. Pass-the-Hash | Pass the Hash攻撃とは?-Active Directory環境に対する攻撃を検知- |
| 3.2.2. Pass-the-Ticket | |
| 3.3. ローカル管理者アカウントの悪用 | ローカル管理者のパスワードをLAPSで一括変更 |
| 4. Active Directory のイベントログを活用した横断的侵害の検知 | |
| 4.1. ログ確認のフロー | |
| 4.2. 不審なログの調査 | |
| 4.2.1. MS14-068 の脆弱性を悪用した攻撃の調査 | 「MS14-068」の脆弱性とは?JPCERT/CCが推奨するログの活用方法と併せてご紹介 |
| 4.2.2. Golden Ticket / Silver Ticket の使用の調査 | |
| 4.2.3. 不審なタスク作成の調査 | 【JPCERT/CC提唱】不審なタスク作成の調査 |
| 4.2.4. イベントログ消去の調査 | 【JPCERT/CC提唱】イベントログ消去の監査に対する必要性 |
| 4.3. 認証ログの調査 | |
| 4.3.1. 特権の割り当ての妥当性の調査 | |
| 4.3.2. アカウントを利用した端末の妥当性の調査 | 【JPCERT/CC提唱 】複数の端末にアクセスしたアカウントを監査 |
| 4.3.3. 認証回数の調査 | 【JPCERT/CC提唱】認証回数の調査をADAudit Plusで効率的に実施 |
| 5. Active Directory に対する攻撃の対策 | |
| 5.1. 予防策 | |
| 5.1.1. 管理専用端末の設置 | 【JPCERT/CC提唱】 管理専用端末を用いたセキュアな運用(前編)(後編) |
| 5.1.2. 通信先セグメントの制限 | |
| 5.1.3. アカウント使用を同じセグメント内に制限 | |
| 5.1.4. 付与する特権の最小化 | |
| 5.1.5. セキュリティ更新プログラム適用 | |
| 5.1.6. 認証情報の保護 | |
| 5.1.7. 適切なパスワードの設定 | |
| 5.2. 攻撃を検知した場合の緊急対処 | |
| 5.2.1. krbtgt アカウントのパスワード変更 | |
| 5.2.2. ドメイン管理者アカウントのパスワード変更 | |
| 5.2.3. サービスを実行しているアカウントのパスワード変更 | |
| 5.2.4. 管理者アカウントのパスワード変更 | |