ログ検索機能の使用イメージ
作成日:2020年12月17日 | 更新日:2022年3月16日
※本ナレッジベースは、ビルド12141を元に作成しています。
本ナレッジでは、ログ検索機能の使用イメージを「Windowsデバイスに関する異常を検出する」というストーリーをもとに紹介します。
ストーリー
具体的なストーリーは下記の通りです。
1. 管理対象のWindowsデバイスへのログオン状況を確認する。
2. 不明なユーザーがログオンしていることを発見する。
3. 当該ユーザーのログオン状況を確認する。
4. 当該ユーザーのログオン失敗が多発していたため、ブルートフォース攻撃を疑う。*ブルートフォース攻撃は侵入手段の一例です。
ログ検索機能の詳細な使用手順は、以下のナレッジをご参照ください。
https://www.manageengine.jp/support/kb/EventLog_Analyzer/?p=5195
手順
1. [検索] タブをクリックします。
2. 対象デバイス、ログタイプ(Windows)、検索範囲期間を指定します。
3. 対象デバイスへのログオン状況を確認するため、検索ボックスに EVENTID="4624" と入力後、[検索] ボタンをクリックします。
この条件指定により、対象デバイスへのログオン成功に関するログ(イベントIDが4624)が検索されます。
<検索結果>
4. ログオンしているユーザー情報を確認するため、検索結果で表示されたログ内の"ユーザ名"をクリックします。
クリック後、以下のようにログオンしたユーザ名の一覧が表示されます。
本手順では、不明なユーザー"takehiro"を発見するという設定で以下の手順を進めます。
5. 不明なユーザー"takehiro"のログオン状況を確認するため、上画面にて"takehiro"をクリックします。
クリック後、検索ボックス内のクエリ内容が自動的に ( EVENTID= "4624" ) AND ( USERNAME= "takehiro" ) と変更されます。
つまり、ログオン成功に関するログ(イベントIDが4624)であるという条件に加えて、ユーザー名が"takehiro"であるという条件を満たすログのみが検索されます。
6. ユーザー"takehiro"のログオン状況をより詳細に把握するため、ログオン成功に加えて、ログオン失敗状況を確認します。
ユーザー"takehiro"のログオン失敗に関するログ(イベントIDが4625)も含めて検索するため、
検索ボックス内のクエリを ( ( EVENTID= "4624" OR EVENTID= "4625" ) AND ( USERNAME= "takehiro" ) ) と変更します。
変更後、[検索] ボタンをクリックします。
*または、高度検索を使用して以下のように入力することでも、同じ検索結果が得られます。
高度検索の使用方法については、以下のナレッジをご参照ください。
https://www.manageengine.jp/support/kb/EventLog_Analyzer/?p=5195
7. 以下のように、ログオン成功の前に、"takehiro"ユーザーのログオン失敗が多発していることを確認します。
8. 以上の検索結果より、ユーザー"takehiro"がブルートフォース攻撃を行い、対象デバイスにログオン(侵入)した可能性を疑います。
ユーザー"takehiro"アカウントを無効化して、ユーザー"takehiro"に関するログをさらに調査します。
また、対象デバイス上で起動しているアプリケーション(データベースやWebアプリケーションなど)に侵入の痕跡がないか確認することも推奨されます。
以上、ログ検索機能の使用イメージを紹介しました。