Windowsログ監査とは?豊富なレポート・機能を備えたツールで実現

Windowsイベントログ・Syslog対応 ログ管理ソフト

ManageEngine >  Windowsイベントログ・Syslog対応 ログ管理ソフト EventLog Analyzer > 機能 > Windowsログ監査とは?豊富なレポート・機能を備えたツールで実現

Windows端末を使用している多くの組織では、社内のほとんどのアクティビティがWindowsネットワーク上で発生しています。Windows端末が多く使用されていれば、Windowsネイティブのアプリケーション(ファイアウォール、バックアップアプリ、ハイパーバイザー用のアプリケーションなど)も、組織内で広く利用されているでしょう。Windows端末が生成するログ情報の監査は、次のような点で有用です。

  • Windowsイベントログの重大度に関わらず、すべてのネットワークアクティビティの概要を把握する
  • 潜在的な侵害、脆弱性、異常に関する情報を活用してネットワークを保護する
  • さまざまなネイティブアプリケーションが記録するユーザーアクティビティやデータを要約する
  • 組織をデータ窃盗から保護し、リムーバブルデバイスの使用状況を監視する
  • 重要なイベント(複数回のログオン失敗やアプリケーションクラッシュなど)を特定する
  • すべてのシステムイベントとレジストリの変更を追跡する

種類が豊富な定義済みレポートやアラートを用意しているEventLog Analyzerを利用すれば、本来は手間のかかる作業である、Windows端末情報の監査を自動化できます。

EventLog AnalyzerによるWindows端末の監査

EventLog Analyzerで提供される機能:

  • 従来のEVT形式と新しいEVTX形式の両方のイベントログ形式をサポート。Windows NT、XP、Vista、2000、2003、2008、2012、7、8、10のサーバーおよびクライアントの各種バージョンの監査ログを含む
  • さまざまなネイティブアプリケーション(Windowsファイアウォール、Windows Backup and Restore、Microsoft Hyper-Vなど)のアクティビティ分析
  • エージェントレスの仕組みで、イベントログを収集(必要に応じてエージェントのインストールも可)
  • ログの集中保管とデータの正規化
  • 数百種類の定義済みレポート(コンプライアンスに対応したレポートを含む)
  • 柔軟かつセキュアな、暗号化されたログアーカイブ
  • 重大なイベント(ログオンの失敗、オブジェクトへのアクセス、ネットワークの異常など)が発生した場合に、メールまたはSMSで即時アラートを送信
  • ログの詳細なフォレンジックを実現するシンプルかつ高度なログ検索オプション

Windows端末の監査機能

ログの収集

  • Windowsイベントログはエージェントレスで収集されます。
  • 収集されたすべてのログのサマリーは製品ダッシュボードで確認できます。
  • 各Windows端末から収集されたログの数と種類(警告、失敗など)をダッシュボードで監視できます。

ログの分析

  • EventLog Analyzerは、幅広いイベントに対応しており、Windows端末監査用の120種類以上の定義済みレポートを用意しています。
  • レポートはグラフや表形式で分かりやすく表示されます。
  • レポートのカスタマイズ、スケジューリング、メールでの配布を実行できます。また、PDF形式とCSV形式でレポートをエクスポートできます。

リアルタイムアラート

  • 重要なイベント(潜在的なセキュリティ侵害といった注意を要する脅威など)のアラートをメールまたはSMSでリアルタイムに受信できます。
  • 優先順位やアラート生成の条件など、アラートプロファイルをカスタマイズできます。
  • 自動プログラム応答(SNMPトラップの生成、サウンドアラームの起動など)を指定できます。

リアルタイムのイベント相関分析

  • EventLog Analyzerには、イベントログのコリレーション(相関)を即時的に識別する機能があります。複数の端末上のイベントを関連付け、潜在的な攻撃パターンが検知された場合にアラートを生成できます。
  • 70種類以上の定義済みコリレーションルールを用意しています。シンプルなドラッグ&ドロップで、潜在的な攻撃パターンを認識するための複雑なルールを作成できます。

コンプライアンス

  • 定義済みレポートを使用して、いくつかのコンプライアンス規定(PCI DSS、HIPAA、SOX、GLBA、FISMA、ISO 27001:2013、GPGなど)に遵守できます。
  • すべてのコンプライアンス関連のイベント(ユーザーアカウントに対する変更、監査ログの消去など)に対応したアラートを生成できます。
  • 将来のコンプライアンス要件に対応できるように、カスタムコンプライアンスレポートを作成できます。

ログのフォレンジック

  • EventLog Analyzerの強力な検索エンジンには、根本原因の分析を容易にするための、いくつかの柔軟な検索オプションがあります。セキュリティイベントの時刻や場所、原因となったユーザーを簡単に特定できます。
  • 生ログとフォーマット化されたログの両方を検索できます。
  • 1回限りのレポートとして検索結果を保存する、またはスケジュールを設定して定期レポートを生成することが可能です。検索結果に基づいたアラートプロファイルの作成もできます。

ログのアーカイブ

  • ログは改ざん防止のために安全に圧縮されてアーカイブされます。
  • ログアーカイブファイルの作成/削除のタイミングや、格納場所などをカスタマイズできます。
  • イベントの範囲の詳細を確認するためにアーカイブファイルのロード、検索、レポートをいつでも実行できます。

Windows端末のレポート

Windows端末の120種類以上の定義済みレポートは、利用しやすいように論理的なレポートグループに分類されています。レポートは、以下のカテゴリーに分類されています。

  • Windows重大度レポート:Windowsのすべてのイベントログと、イベントごとの重大度(成功、失敗、情報、重大)を表示します。
  • Windows重要度レポート: 重要度、イベントの種類、端末、トレンドに基づいて重要なイベントを表示します。
  • Windowsシステムイベント: いくつかの重要なシステムイベント(起動およびシャットダウン、サービスおよびソフトウェアのインストール、Windowsアップデートなど)を追跡します。
  • 脅威レポート: ネットワーク攻撃(DDoS攻撃、ダウングレード攻撃など)や、ネットワークのセキュリティに影響を与える他のイベント(イベントログサービスの停止、ユーザーアカウントのロックアウトなど)を特定します。
  • リムーバブルディスクの監査: ネットワーク上のリムーバブルディスクの使用状況(作成、変更、削除など、リムーバブルディスク上のすべてのデータ操作)を徹底的に監視します。
  • ネットワークポリシー: ネットワークポリシーの結果として発生するイベント(ネットワークのアクセス許可または拒否、連続したログオン失敗に起因するアカウントのロックアウトなど)を監視します。
  • レジストリの変更: Windowsレジストリの使用状況を追跡し、レジストリ値に対するすべての変更を表示します。
  • Windowsのバックアップと復元: WindowsのネイティブバックアップソフトウェアであるWindows Backup and Restoreのすべてのアクティビティを監査します。
  • アプリケーションクラッシュ: さまざまなアプリケーションクラッシュ(ブルースクリーンエラー、ハングアップ、システムエラー、その他のアプリケーションエラーなど)の理由を追跡します。
  • アプリケーションホワイトリスティング: 正常に実行されたアプリケーションや失敗したアプリケーションの詳細情報を表示します。
  • プログラムインベントリ: アプリケーションのインストール、アップデート、削除を追跡します。
  • Windowsファイアウォール: Windowsファイアウォールを監査し、ルールやポリシーに対する変更を追跡します。ファイアウォールによって阻止された、さまざまな攻撃(スプーフィング攻撃、フラッド攻撃、PoD攻撃など)を特定します。
  • アンチウイルスレポート: 広く利用されている各種のアンチウイルスソフトウェア(ESET、Kaspersky、Sophos、Norton、Windowsのセキュリティ対策ソフト)が検知した脅威の詳細情報を表示します。
  • データ窃盗: さまざまなアクセスポイント(プリンター、リムーバブルデバイス、データベースバックアップなど)で発生したデータ窃盗を表示します。
  • Hyper-Vの監査: Microsoft Hyper-Vサーバーや仮想マシン上のアクティビティ(パーティションの作成、Hyper-Vスイッチの作成、仮想マシンの作成、インポートなど)を監査します。