none
ADのセキュリティログについて RRS feed

  • 質問

  • クライアント1000台程度のAD管理者です。
    最近の情報漏洩の話題をうけて、あやしい動作をチェックするよう指示をうけてます。
    ADのセキュリティログを見ていますが、ログオン/ログオフも大量にあり、
    1日程度で最大サイズになり上書きされてしまっており、いったい何を見ていいのかわからない状況です。

    Default Domain Controllers Policyの監査ポリシーは現在デフォルトのままです。
    不正な動作?を調べるための設定として、何かあればアドバイスいただけないでしょか。

    クライアントにはPC操作ログソフトを導入している為、
    対話型ログオン、ファイル操作についてはこちらのログをチェックすることを考えております。

    宜しくお願い致します。




    2015年6月18日 6:30

回答

  • チャブーンです。

    今さらですが、率直に申しあげて、どなたにも回答が難しい内容かと思います。

    そもそも論として、「怪しい動作」を定義する方法は一般に存在しないため、「情報漏洩におけるシナリオ」を用意し、シナリオ内で「どのような所作が行われるか」によって、その所作を監査するような、情報取得体制を用意する必要があります。シナリオの想定には「実例に基づく経験」と「セキュリティに関する知識」の両方が必要で、専任のプロフェッショナルの力が必要です。従って、無償掲示板で「答えが与えられる」内容ではない、という理解です。

    ちなみに、Windowsでは監査機能によりファイル、レジストリ、ADオブジェクトへのアクセスや変更をログに記録できますが、これらは「必要な場所に必要な設定」を行って初めて有効に機能します。デフォルトの設定では最小限の内容しか確認することはできず、1日程度しかログが保存されていない状況では、残念ながら「情報漏洩の有無を確認する」有効な手立ては現状はほぼないと思われます。ログの保存期間や監査を行う場所、内容についても、プロフェッショナルによる「設計」を事前に行うことが、同様に必要となります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2015年6月24日 1:37
    • 回答としてマーク 佐伯玲 2015年7月3日 4:20
    2015年6月23日 18:27
    モデレータ
  • こんにちは、spiralscratch さん
    フォーラムオペレータの佐伯 玲 です。

    お寄せいただけているアドバイスはご覧いただけましたでしょうか?
    アドバイスにもある通りフォーラムだと要件がはっきりしていない(環境により許容される行為も異なるでしょうし)ご質問は解決が難しい傾向にあります。
    具体的に知りたい情報がはっきりしていてそれを取るうえで何か障害があったりしたケースですとご質問もしやすいかもしれないのですが…

    フォーラムで得られる情報としては中々難しいケースだと思いますのでお寄せいただけた返信のほうを「回答としてマーク」とさせていただきました。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲


    2015年7月3日 4:20

すべての返信

  • チャブーンです。

    今さらですが、率直に申しあげて、どなたにも回答が難しい内容かと思います。

    そもそも論として、「怪しい動作」を定義する方法は一般に存在しないため、「情報漏洩におけるシナリオ」を用意し、シナリオ内で「どのような所作が行われるか」によって、その所作を監査するような、情報取得体制を用意する必要があります。シナリオの想定には「実例に基づく経験」と「セキュリティに関する知識」の両方が必要で、専任のプロフェッショナルの力が必要です。従って、無償掲示板で「答えが与えられる」内容ではない、という理解です。

    ちなみに、Windowsでは監査機能によりファイル、レジストリ、ADオブジェクトへのアクセスや変更をログに記録できますが、これらは「必要な場所に必要な設定」を行って初めて有効に機能します。デフォルトの設定では最小限の内容しか確認することはできず、1日程度しかログが保存されていない状況では、残念ながら「情報漏洩の有無を確認する」有効な手立ては現状はほぼないと思われます。ログの保存期間や監査を行う場所、内容についても、プロフェッショナルによる「設計」を事前に行うことが、同様に必要となります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2015年6月24日 1:37
    • 回答としてマーク 佐伯玲 2015年7月3日 4:20
    2015年6月23日 18:27
    モデレータ
  • こんにちは、spiralscratch さん
    フォーラムオペレータの佐伯 玲 です。

    お寄せいただけているアドバイスはご覧いただけましたでしょうか?
    アドバイスにもある通りフォーラムだと要件がはっきりしていない(環境により許容される行為も異なるでしょうし)ご質問は解決が難しい傾向にあります。
    具体的に知りたい情報がはっきりしていてそれを取るうえで何か障害があったりしたケースですとご質問もしやすいかもしれないのですが…

    フォーラムで得られる情報としては中々難しいケースだと思いますのでお寄せいただけた返信のほうを「回答としてマーク」とさせていただきました。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲


    2015年7月3日 4:20
  • チャブーン様
    佐伯様

    ご回答ありがとうございました、やはり難しいんですね。
    ログ解析ツールなどの導入を検討してみます、ありがとうございました。

    2015年7月3日 11:59