LogonTracer v1.6 リリース
JPCERT/CCでは、イベントログの分析をサポートするツール「LogonTracer」の最新バージョン1.6をリリースしました。これまでのLogonTracerは、複数のインシデントを同時に調査する機能はありませんでしたが、今回のアップデートで複数のログを管理する機能を追加しました。さらに、Sigmaを使ってイベントログの中から不審なログの有無を調査する機能を追加しました。
今回は、このアップデートについて紹介します。その他のアップデート内容については下記のリリースをご覧ください。
https://github.com/JPCERTCC/LogonTracer/releases/tag/v1.6.0
ログ管理機能
複数のインシデントを調査する場合、各インシデントで別々のログ管理を行ったり、複数インシデントを同時に調査したいことがあります。LogonTracerでは、ケースという単位でログを管理することが可能です。なお、本機能はLogonTracerのデータベースとしてNeo4j Enterprise Editionを使用している際に有効な機能です。Neo4j Enterprise Editionについては、Neo4jのWebページをご覧ください。
以下では、ケースを使用したログ管理の手順を説明します。なお、以下の操作は、管理者ユーザーのみ行うことが可能です。
1. ケースの作成
まず初めにAdd New Caseから、新しいケースを作成します。
ケース作成後は、図2のとおり作成したケースを使用していることが表示されます。なお、デフォルトでは、Defaultケースを使用しています。Defaultケースは、すべてのユーザーがアクセス可能なケースです。
この状態でイベントログをアップロードすると、作成したケース内でログが管理されます。別のケースを使用する場合は、Change Caseからケースを変更することができます。
2. ケースへアクセスできるユーザーの制限
ケースへアクセスできるユーザーを限定することも可能です。新しいユーザーをAdd Userから作成します。
次に、Add Access to Caseから、ケースにアクセスするユーザーを紐づけます。もし、アクセスケースの設定を変更する場合は、Delete Access to Caseから可能です。
Sigmaサポート
Sigmaは、ログなどを検査するためのシグネチャをSIEMやさまざまなセキュリティ製品で利用可能なものに変換するための共通フォーマットです。多数のSigmaルールが公式レポジトリ上で公開されており、ログ調査に有効活用可能です。詳しくは、SigmaのGitHubレポジトリをご覧ください。
https://github.com/SigmaHQ/sigma
セキュリティイベントログを調査するためのルールも多数公開されており、LogonTracerではこれらのSigmaルールを使ってイベントログを調査する機能を追加しました。イベントログのアップロード時に、Sigmaルールでスキャンを行う機能Run scan using Sigma rulesにチェックを入れておくと、調査結果を確認することができます。
調査結果は、サイドバーからCSVファイルとしてダウンロードすることができます。Sigmaルールですべての不審なログオンを検知することはできませんが、インシデント調査の助けになると思います。
なお、現状のLogonTracerではシンプルなdetectionルールのみをサポートしており、複数のログにまたがるようなルール(conditionフィールドのcount()など)や複雑な条件マッチには対応していません。今後、複雑な検知条件にも対応していく予定です。
おわりに
LogonTracer v1.6では、上記の機能追加以外にもログイン画面の実装やバグ修正などを行っています。新バージョンの使用方法に関しては、Wikiにまとめていますので、使用の際はご確認ください。
https://github.com/JPCERTCC/LogonTracer/wiki
今後もLogonTracerはリクエストに応じたアップデートを続けていきますので、引き続きPull Requestや要望などお待ちしています。
インシデントレスポンスグループ 朝長 秀誠
