皆様、こんにちは。カスペルスキー製品担当SEの小池です。
今回はKaspersky Security for Windows ServerにおけるWindowsイベントログ監視機能を紹介致します。
機能名からは想像しにくいかもしれませんが、Widnwos Serverに対するブルートフォース攻撃の兆候の検知や、侵入後によくある挙動を検知が可能な、実用的な機能です!
今回の内容は以下の通りです。
今回の記事は以下のバージョンにて検証し、画面ショットを取得しております。
●管理サーバー
OS:Windows Server 2019
DB:Microsof SQL Server 2017 Express (KSCと同居)
Kaspersky Security Center:13.0.0.11247
Kaspersky Security Center Web Console:13.0.10285
●保護対象デバイス
Windows Server 2019
●保護製品
Kaspersky Security for Windows Server : 11.0.1.897
●利用ライセンス
Kaspersky Hybrid Cloud Security Enterprise, CPU Japanese Edition.
Windowsイベントログ監視機能の概要
Windows イベントログの監査結果に基づいて保護環境の整合性を監視し、サイバー攻撃の試みを示す可能性のある異常な動作が検知できる機能です。
https://support.kaspersky.com/KSWS/11.0.1/ja-JP/146700.htm
簡単に言うと、悪意のあるユーザーに侵入されそうな兆候や、実際に侵入されたときにWindows Serverで実施されやすいアクションを、Windowsイベントログを用いて監視・検知する機能です。
監視の定義はカスタムルール、定義済みのルール、拡張、除外リストで構成されます。
- カスタムルール:ソースとイベントIDで監視の定義を指定する。デフォルトのいくつか定義もあるが、それ以外に自分で追加することも可能。
- 定義済みのルール:Windows Serverへの攻撃の兆候や、実際に侵入された後によくあるアクションを検知する定義。ベンダーによって定義済で、設定の変更や追加はできず有効/無効のみを設定する。
- 拡張:ブルートフォース攻撃の検知の閾値の設定、ネットワークログオンを検知する時間帯の指定が可能。
- 除外リスト:定義済みのルールの除外設定。IPアドレスかユーザーで指定する。
Windowsイベントログ監視の有効/無効はポリシーで設定します。本機能を利用するにあたり、定期的なタスクの実行は必要ありません。
Kaspersky Security for Windows Serverのデフォルトポリシーでは無効になっています。
本機能は一部のライセンスを適用している場合のみ、利用可能です。
Windowsイベントログ監視機能を利用できるライセンス
2021/9/14現在、Kaspersky Security for Windows ServerにおいてWindowsイベントログ監視機能を使うためには、以下いずれかのライセンスが必要となります。
- Kaspersky Hybrid Cloud Security Enterprise - サーバー
- Kaspersky Hybrid Cloud Security Enterprise - CPU
Windowsイベントログ監視機能の有効化と設定
Windowsイベントログ監視を有効にするには、Kaspersky Security for Windows Serverのポリシーで設定します。
Webコンソールで[デバイス]>[ポリシーとプロファイル]を開き、Kaspersky Security for Windows Serverのポリシーをクリックします。
[アプリケーション設定]タブを開き、[システム監視]>Windowsイベントログ監視の[設定]をクリックします。
[タスク管理]タブの[スケジュールに従って実行する]にチェックを入れ、[強制適用]を有効にして[OK]をクリックします。
[保存]をクリックします。
これでWindowsイベントログ監視が有効になります。
実際にKaspersky Security for Windows Serverが導入済みのサーバーで簡易UIを見てみると、以下の通りWindowsイベントログ監視が有効になっています。
次に、実際にポリシーでWindowsイベントログ監視の詳細を設定します。
有効にしたときと同じ手順で、ポリシーのWindowsイベントログ監視の画面を表示します。
[カスタムルール]タブで、イベントソース (Application 等)とイベントIDで監視対象を指定できます。
デフォルトで4つ設定があり、そのうち1つ (アプリケーションのポップアップの検出) がデフォルトで有効になっています。
[定義済みのルール]タブの画面上部で、ベンダーで定義済みのルールの有効/無効を設定できます。
デフォルトでは7個のルールがあり、すべて有効になっています。
同じ[定義済みのルール]タブの画面下部で、拡張設定とIPもしくはユーザーによる除外設定ができます。
[拡張]では、ブルートフォース攻撃と検知するための閾値の設定と、ネットワークログオンの検知時間帯の指定が可能です。
なお、定義済みのルールが具体的にどういうアクションを検知できるのかについては、MMCベースのコンソールの同項目設定画面から確認することができます。
検証
ここからはデフォルトで存在する検知の定義が機能するかを検証します。
ブルートフォースの可能性の検知
ブルートフォース攻撃の可能性の検知を検証します。
ポリシーは[Windowsイベントログ監視]>[定義済みのルール]>[Windowsイベントログ監視に定義済みのルールを適用する]を有効にし、[システムにブルートフォース攻撃の可能性があるパターンがあります]を有効にします。
また、デフォルトではブルートフォース攻撃の検知閾値は、300秒の間にログオン失敗回数が10回となっています。今回は閾値は変更せずに検証します。
この状態で実際にWindowsイベントログ監視が機能するかを確認します。
確認方法はRDP用いたAdministratorのログオンで、意図的にパスワードを10回間違えます。
この後、KSCで最近のイベントを確認して、Windowsイベントログ監視でブルートフォース攻撃の兆候に関するイベントが発生していることを確認します。
Webコンソールで[監視とレポート]>[イベントの抽出]>[最近のイベント]をクリックします。
今回はたまたま一番上に出てきました。
イベントの文言は以下の通りです (少々見づらいですが)。
どのデバイスで検知したか以外には、ログオン施行が繰り返されたOSのユーザー名 (TargetUserName) や、攻撃元のIP (IpAddress) が出力されています。
以上でブルートフォースの可能性の検知の検証は終了です。
結果として、ポリシーに設定した閾値で正常にブルオートフォース攻撃の兆候を検知することができました。
Windowsイベントログが悪用された可能性の検知
次に、実際に侵入された後によくあるWindowsイベントログの全削除を検知できるか検証します。
ポリシーは[Windowsイベントログ監視]>[定義済みのルール]>[Windowsイベントログ監視に定義済みのルールを適用する]を有効にし、[Windows イベントログ悪用の可能性があるパターンがあります]を有効にします。
この状態で実際にWindowsイベントログ監視が機能するかを確認します。
確認方法はKaspersky Security for Windows Serverがインストール済の端末で、Applicationイベントを全削除します。
この後、KSCで最近のイベントを確認して、Windowsイベントログ悪用の可能性に関するイベントが発生していることを確認します。
Webコンソールで[監視とレポート]>[イベントの抽出]>[最近のイベント]をクリックします。
今回もたまたま一番上に出てきました。
イベントの文言は以下の通りです。
"Windowsイベントログの悪用の可能性があるパターン" に該当する行為は、Windowsイベントログのセキュリティジャーナルのクリア、Windowsイベントログ全体のクリア、Windowsイベントログのイベントログポリシーの変更の3つがあり、今回は2つめのWindowsイベントログ全体のクリアを実施しました。
KSCのイベントから、Windowsイベントログ悪用のパターンに該当したことはわかりますが、”WindowsイベントログのApplicationsをクリアしたから検知した" 旨の日本語は出力されていませんでした。
ただ、イベント詳細の後半部分から、WindowsイベントログのsystemのイベントID104がチャネルApplicationで起こったような風に読み取ることはできます。
このsystemのID104のイベントは、ログの消去をした際に出るイベントです。実際にシステムのイベントログを見ると、Applicationのログが削除された旨のイベントが出ていますので、間接的にApplicationのログ削除が起こったことは特定できそうです。
以上でWindowsイベントログの全削除を検知できるかの検証は終了です。
結果として、検知条件の1つであるイベントログの全削除をトリガーとして、Windowsイベントログ悪用の可能性があるパターンを検知することができました。
サービス作成の検知
最後に、実際に侵入された後にやられがちなサービスの作成を検証します。
ポリシーは[Windowsイベントログ監視]>[カスタムルール]>[システムにサービスがインストールされました]を有効にします。
(このルールはデフォルトで無効です。)
この状態で実際にWindowsイベントログ監視が機能するかを確認します。
確認方法はKaspersky Security for Windows Serverがインストール済の端末で、Amazon SSM Agentをインストールします。
(Amazon SSM Agentをインストールすると、Windowsのサービス[Amazon SSM Agent]が作成されるので、それを検知できるか試行します。)
この後、KSCで最近のイベントを確認して、サービス作成に関するイベントが発生していることを確認します。
Webコンソールで[監視とレポート]>[イベントの抽出]>[最近のイベント]をクリックします。
今回もたまたま一番上に出てきました。
イベントの文言は以下の通りです。
サービス名 (Amazon SSM Agent)、実行ファイルパス (IamgePath)、起動設定 (StartType)、起動アカウント(LocalSystem) が明記されているので、割とわかりやすい文言の内容となっています。
以上でサービス作成の検知の検証は終了です。
結果として、サービス作成イベントを正常に検知することができました。
3つの検証ケースと結果は以上です。
今回はKasperswky Security for Windows ServerにおけるWindowsイベントログ監視について紹介・検証しました。
本機能を使えるライセンスは限られますが、使い方はポリシーで有効にするだけで、設定もデフォルトのままでもそれなりに効果が得られる良い機能です。
既にKHCS Enterpriseライセンスをご利用中の方はもちろん、Windows Serverに対する攻撃の兆候検知 および 侵入後の挙動を検知できる製品をお探しの方も、ぜひ本機能の利用をご検討いただければと存じます。
この度は最後まで記事をご覧いただき誠にありがとうございました。
記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。
https://www.networld.co.jp/product/kaspersky/
それでは次回の記事でお会いしましょう!