セキュリティログ監視ルールの確認
Vulnerability ProtectionDeep Securityのセキュリティログ監視機能を使用すると、サードパーティのログファイルのリアルタイム分析ができます。セキュリティログ監視ルールとデコーダは、多種多様なシステムに対して、イベントの解析、分析、ランク付けおよび関連付けを実行するためのフレームワークを提供します。侵入防御および変更監視と同様、セキュリティログ監視の内容は、セキュリティアップデートに含まれているルールのフォームで配信されます。これらのルールによって、分析するアプリケーションとログの選択を高いレベルで選択することができます。
セキュリティログ監視ルールは、Deep Security Managerの [ポリシー]→[共通オブジェクト]→[ルール]→[セキュリティログ監視ルール] にあります。
セキュリティログ監視ルールの構造とイベント照合プロセス
次のスクリーンショットは、「Mail Server - Microsoft Exchange」というセキュリティログ監視ルールのプロパティ画面にある [設定] タブの内容を示します。
次に、ルールの構造を示します。
- 3800 - Grouping of Exchange Rules - Default - ignore
- 3801 - Email rcpt is not valid (invalid account) - Default - Medium (5)
- 3851 - Multiple email attempts to an invalid account - Default - High (10)
- Frequency (1 to 128) - 10
- Time Frame (1 to 86400) - 120
- Time to ignore this rule after triggering it once - to avoid excessive logs (1 to 86400) - 120
- 3851 - Multiple email attempts to an invalid account - Default - High (10)
- 3802 - Email 500 error code - Default - Medium (4)
- 3852 - Email 500 error code (spam) - Default - High (9)
- Frequency (1 to 128) - 12
- Time Frame (1 to 86400) - 120
- Time to ignore this rule after triggering it once - to avoid excessive logs (1 to 86400) - 240
- 3852 - Email 500 error code (spam) - Default - High (9)
- 3801 - Email rcpt is not valid (invalid account) - Default - Medium (5)
セキュリティログ監視エンジンは、この構造にログイベントを適用し、一致が存在するかどうかを確認します。Exchangeイベントが存在し、そのイベントが無効なアカウントに対するメールの受信であるとします。イベントは3800の行と一致します (3800の行がExchangeイベントであるため)。また、同じイベントが、3800の行のサブルールである3801の行と3802の行にも適用されます。
これ以上の一致がない場合、この一致の「連鎖」は3800の行で停止します。3800の行の重要度は「無視」であるため、セキュリティログ監視イベントは記録されません。
ただし、無効なアカウントに対するメールの受信は、3800の行のサブルールの1つ、サブルール3801に一致しています。サブルール3801の重要度は「Medium(4)」です。一致がここで停止する場合、重要度が「Medium(4)」のセキュリティログ監視イベントが記録されます。
しかし、このイベントに該当するルールは他にもあります。サブルール3851です。同じイベントが過去120秒以内に10回発生した場合、サブルール3851とその3つの属性が一致するでしょう。その場合、重要度が「High(9)」であるセキュリティログ監視イベントが記録されます(「無視」属性は、サブルール3851に、サブルール3801と一致する個々のイベントを今後120秒間無視するように指示しています。これは、「ノイズ」の低減に役立ちます)。
サブルール3851のパラメータが一致したとみなされると、重要度が「High(9)」であるセキュリティログ監視イベントが記録されます。
Mail Server - Microsoft Exchangeルールの [オプション] タブを調べてみると、重要度が「中 (4)」のサブルールが一致していれば、Vulnerability ProtectionDeep Security Managerによってアラートが発令されることがわかります。この例はこれに該当するため、アラートが発令されます ([このルールによってイベントが記録された場合にアラート] が選択されている場合)。
重複しているサブルール
一部のセキュリティログ監視ルールでは、サブルールが重複している場合があります。例を見るには、[Microsoft Windows Events] ルールを開き、[設定] タブをクリックします。サブルール18125 (Remote access login failure) が、サブルール18102と18103の下に表示されています。また、どちらの場合も、サブルール18125には重要度の値が示されておらず、単に [See Below] と表示されています。
重複して表示されるのではなく、ルール18125は、[設定] 画面の下部に1回だけ表示されています。
