EventLog AnalyzerによるGPG13のコンプライアンス
グッドプラクティスガイド13(GPG 13: good practice guide 13)は、イギリス政府が英国すべての組織に向けに制定した、12の保護監視制御(PMC: Protective Monitoring Controls)の枠組みです。GPG 13は、以下のようなネットワークとシステムへユーザーアクセスがした際には、それらを記録をするよう求めています:
- 不正なアプリケーションアクセス
- 機密情報取得のためのファイルへのアクセスの試み
- 成功したログオンおよびログアウト
- 失敗したログオンおよびログアウト
- システム権限の変更(アカウント管理、ポリシー変更、デバイス設定など)
GPG 13は、さらに、組織がログを6ヶ月以上保管することも義務付けています。特に、ITセキュリティチームが小規模な組織にとって、GPG 13のPMCをすべて遵守することは困難です。
EventLog Analyzerによる、ログのリアルタイムでの相関および分析は、企業がGPG 13のコンプライアンスを遵守するための支援をします。セキュリティイベントごとににマッピングされた各PMCで、定義済みレポートを提供します。
EventLog AnalyzerによるGPG13のコンプライアンス対応
| 要件 | EventLog Analyzerがコンプライアンスの順守で役に立つ点 |
|---|---|
| PMC-1 正確なタイムスタンプ | ログのタイムスタンプを改ざんされないようにします。 |
| PMC-2 webサーバーを通過するトラフィックの記録 | PMC-2レポートで、IISおよびApacheウェブサーバーを通過するトラフィックを記録します。 |
| PMC-3 ネットワーク境界での疑わしい活動の記録 | PMC-3レポートで、拒否された接続や、ネットワーク境界デバイスに対する攻撃の可能性をすべて表示します。 |
| PMC-4 内部のワークステーション、サーバー、デバイス状態の記録 | 設定変更、特権アクセス、システムおよびアプリケーションの再起動、ソフトウェアのインストール、リムーバブルメディアの挿入と取り外し、機密ファイルへのアクセスなどの、疑わしい活動を検出し、記録します。 |
| PMC-5 疑わしい内部ネットワーク活動の記録 | ポリシーの変更を記録し、内部ユーザーによる悪意のある活動を検知します。 |
| PMC-6 ネットワーク接続の記録 | Windows、Unix、ネットワーク境界デバイスのログオンをすべて記録します。 |
| PMC-7 ユーザーおよびワークステーションのセッション活動の記録 | セッション中のアクティビティの詳細を含む、開始から終了までのユーザーセッション全体を追跡します。 |
| PMC-8 データバックアップの状態の記録 | バックアップの失敗や復元イベントを記録します。 |
| PMC-9 重要なイベント発生時のアラート | 異常なアクティビティがネットワークで発生した際、メールにてアラートを送信します。アラートが生成されたタイミングでプログラムを実行するよう設定することもできます。 |
| PMC-10 監査システムの状態に関するレポート | すべてのセキュリティログとイベントログの消去を追跡します。 |
| PMC-11 整理された統合管理レポートの生成 | 詳細にカスタマイズ可能なレポート生成機能を提供します。管理者は、既存のレポートを設定して、要件に合わせたり、新しいレポートを作成することができます。 |
| PMC-12 保護された監視活動のための、合法的な枠組みの提供 | フォレンジック用に、すべての有効なデータを収集して分析します。 |