More Related Content Similar to Kibana + Winlogbeatで実現:Windowsのログ分析入門 (20) Kibana + Winlogbeatで実現:Windowsのログ分析入門5. Active Directory ログ分析の課題
解決!
0 5 10 15 20 25 30
ログを保存していない
その他
ログ運用のための社内調整に時間がかかる
ルールや基準が存在しない
分析のための工数が割けない
分析に関する十分なノウハウがない
5
出典:ログを活用したActive Directoryに対する攻撃の検知と対策
https://www.jpcert.or.jp/research/AD.html
ログに出るのは知っている。でも、本当に監査できているか?
12. 環境
Internet
Windows 2012 R2 Base
Active
Directory
Winlogbeat
Centos 7
Java
Kibana
Elasticsearch
Windows 2012 R2 Base
(踏み台)
ドメイン参加
TCP 5601
TCP 9200
TCP 3389
12
24. JPCERTの活用
イベントID 説明
4698 スケジュールされたタスクの作成
1102 イベントログの消去
4624 ログインの成功
4625 ログインの失敗
4768 Kerberos認証(TGT要求)
4769 Kerberos認証(ST要求)
4776 NTLM認証
4672 特権の割り当て
今回はeventID:1102を例にとって見たが他にも調査すべきログの例をJPCERTが公開している。
他にもActive Directoryに対する攻撃の対策方法なども記載されているので確認しましょう!
24
27. Elastic Stack構築詳細
$ yum -y install java-1.8.0-openjdk
$ java --version
$ yum -y install elasticsearch
$ yum –y install kibana
$ systemctl start elasticsearch
$ systemctl start kibana
$vi /etc/yum.repos.d/elastic.repo
$ vi /etc/elasticseach/elasticsearch.yml
$ vi /etc/kibana/kibana.yml
$ systemctl enable elasticsearch
$ systemctl enable kibana
Java
インストール
Kibana/Elasticsearch
インストール
Kibana/Elasticsearch
サービス起動
リポジトリ登録
Kibana/Elasticsearch
ymlの編集
Kibana/Elasticsearch
サービス化
[elastic-6.x-prerelease]
name=Elastic repository for 6.x prerelease packages
baseurl=https://artifacts.elastic.co/packages/6.x-
prerelease/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-
elasticsearch
enabled=1
autorefresh=1
type=rpm-md
#kibana.yml
server.host: KibanaのIP
elasticsearch.url: “http://ElasticsearchのIP:9200”
#elasticsearch.yml
network.host: ElasticsearchのIP
27
ローカルで動かす場合は
ymlファイルの変更はしなくても動く