ADAudit Plusで実現するActive Directory監査のベストプラクティス

Active Directory監査レポートツール

ADAudit Plusで実現する
Active Directory監査のベストプラクティス

Active Directoryのログ監査を行うにあたり、JPCERTコーディネーションセンター(JPCERT/CC)やMicrosoftからも注視すべきイベントログが示されています。

ADAudit Plusは、上記のようなログを自動で収集/集計し、視覚的に分かり易いレポートとして出力したり、アラート通知の設定を行うために活用できます。

【JPCERT/CC推奨のイベントログ監査への対応】

ADAudit Plusは、2017年にJPCERT/CCが公開した文書「ログを活用したActive Directoryに対する攻撃の検知と対策」で監査が推奨されている、以下のイベントログ収集に対応しています。

イベントID説明
4698スケジュールされたタスクの作成
1102イベントログの消去
4624ログインの成功
4625ログインの失敗
4768Kerberos 認証 (TGT 要求)
4769Kerberos 認証 (ST 要求)
4776NTLM 認証
4672特権の割り当て

【Microsoft推奨のイベントログ監査への対応】

ADAudit Plusは、Microsoftが公開している「Best Practices for Securing Active Directory」の内、監視が推奨されているイベントログ(重要度「高」)の収集に対応しています。

イベントID説明
4618監視されるセキュリティイベントパターンが発生しました。
4649リプレイ攻撃が検出されました。構成が正しくないエラーのための無害な誤検知があります。
4719システム監査ポリシーが変更されました。
4765SID履歴がアカウントに追加されました。
4766SIDの履歴をアカウントに追加できませんでした。
4794ディレクトリサービス復元モードの設定が試行されました。
4897役割の分離が有効になっています。
4964特別なグループが新しいログオンに割り当てられています。
5124セキュリティの設定は、OCSPレスポンダーサービスに更新されました。

JPCERT/CCの公開文書に加え、上記で監視が推奨されているイベントログを収集・保管し、視覚的に見易いレポートとして出力したり、リアルタイムのアラート通知を設定したりするために、ADAudit Plusは有用です。ぜひご利用ください。

訪問/オンライン対応可!

Active Directory監査 課題相談

お申込みはこちら

訪問/オンライン対応可!

Active Directoryセキュリティセミナー

お申込みはこちら

JPCERT/CC公開文書の解説/対策紹介記事

JPCERT/CCが公開している文書「ログを活用したActive Directoryに対する攻撃の検知と対策(1.2版)」の3章/4章/5章では、サイバー攻撃者がActive Directoryを攻撃する際の手法や攻撃を検知/予防するための方法が紹介されています。

以下の項目において、ManageEngineでは解説/対策紹介記事を公開しております。ぜひご参照ください。

なお、Active Directoryのセキュリティ対策を行うための包括的なソリューション提案は「Active Directoryのセキュリティ対策ソリューション」ページでもご紹介しております。

3. Active Directory に対する攻撃手法
3.1. Active Directory の脆弱性の悪用
3.2. 端末に保存された認証情報の悪用
3.2.1. Pass-the-HashPass the Hash攻撃とは?-Active Directory環境に対する攻撃を検知-
3.2.2. Pass-the-Ticket
3.3. ローカル管理者アカウントの悪用ローカル管理者のパスワードをLAPSで一括変更
4. Active Directory のイベントログを活用した横断的侵害の検知
4.1. ログ確認のフロー
4.2. 不審なログの調査
4.2.1. MS14-068 の脆弱性を悪用した攻撃の調査「MS14-068」の脆弱性とは?JPCERT/CCが推奨するログの活用方法と併せてご紹介
4.2.2. Golden Ticket / Silver Ticket の使用の調査
4.2.3. 不審なタスク作成の調査【JPCERT/CC提唱】不審なタスク作成の調査
4.2.4. イベントログ消去の調査【JPCERT/CC提唱】イベントログ消去の監査に対する必要性
4.3. 認証ログの調査
4.3.1. 特権の割り当ての妥当性の調査
4.3.2. アカウントを利用した端末の妥当性の調査【JPCERT/CC提唱 】複数の端末にアクセスしたアカウントを監査
4.3.3. 認証回数の調査【JPCERT/CC提唱】認証回数の調査をADAudit Plusで効率的に実施
5. Active Directory に対する攻撃の対策
5.1. 予防策
5.1.1. 管理専用端末の設置【JPCERT/CC提唱】 管理専用端末を用いたセキュアな運用(前編)(後編)
5.1.2. 通信先セグメントの制限
5.1.3. アカウント使用を同じセグメント内に制限
5.1.4. 付与する特権の最小化
5.1.5. セキュリティ更新プログラム適用
5.1.6. 認証情報の保護
5.1.7. 適切なパスワードの設定
5.2. 攻撃を検知した場合の緊急対処
5.2.1. krbtgt アカウントのパスワード変更
5.2.2. ドメイン管理者アカウントのパスワード変更
5.2.3. サービスを実行しているアカウントのパスワード変更
5.2.4. 管理者アカウントのパスワード変更