[開発中]ADログを解析するApp

2019/08/14

今年4月に主催したイベントにて弊社製プロキシAppを紹介しました。このプロキシAppは、以下のようなプロキシログの統計/分析ナレッジをSplunkで利用しやすくするものです。

  • Webの利用状況をすぐに可視化可能
  • 必要となる分析調査手法を提供
  • ダッシュボードやレポートのカスタマイズも柔軟に可能

そして、イベントのアンケートより、プロキシAppに次いで、「Active DirectoryログについてのAppがほしい」というご意見を多くいただきました。

インシデント調査の一般的なパターンでは、「端末の特定対象の通信の特定端末で実行されたプロセスの確認インシデント報告」の順番で実施されることが多いと思います。

  • [開発中]ADログを解析するApp

プロキシログを見ることで、外部とどの端末でどのような通信が行われたのかが分かります。しかし外部からの攻撃者がその端末で何を実行したのかまでは分かりません。そこで、端末で何が実行されたのかを知る手段の1つとしてADのログを見る方法が挙げられます。

Splunkでは各調査フェーズで必要なログを集約して、フェーズに応じた検知ルール(サーチ)を用意することができます。この一連のインシデント調査をお客様が実施しやすくできるように、ADログを対象に調査方法を「App」という形でご提供できないか模索中です。

現在、作成中のAD Appの一部をお見せするとこんな感じです。

<サンプル1:ADイベントの可視化>

  • サンプル1:ADイベントの可視化

<サンプル2ドメインユーザのログイン履歴調査>

  • サンプル2:ドメインユーザのログイン履歴調査

<サンプル3:ADサーバ操作監査>

  • サンプル3:ADサーバ操作監査

いかがでしょうか。

ぜひAD Appについてご意見をいただければと思います!