ZABBIXを使用した情報セキュリティイベントの監視

Zabbixを初めて見たとき、情報セキュリティイベントを監視するためのソリューションとして使用してみませんか。 ご存じのように、企業のITインフラストラクチャには、情報セキュリティイベントのストリームを生成するさまざまなシステムがあり、それらをすべて表示することは不可能です。 現在、当社の企業監視システムには、数百のサービスが非常に詳細に観察されています。 この記事では、情報セキュリティイベントを監視するためのソリューションとしてZabbixを使用する機能を検討します。

Zabbixで問題を解決できるのはなぜですか？ 以下について：

• インベントリプロセス、脆弱性管理、セキュリティポリシーおよび変更へのコンプライアンスの自動化を最大化します。
• 情報セキュリティの自動監視による企業リソースのリアルタイム保護。
• ネットワークセキュリティの最も信頼できる画像を取得する機能。
• シスコ、ジュニパー、Windows、Linux、Unix、MSQL、Oracle、MySQLなどのネットワーク機器、ネットワークアプリケーション、Webサービスなど、幅広い複雑なシステムの分析。
• 監査コストとセキュリティ管理の最小化。

この記事では、上記のすべてを検討するわけではありませんが、最も一般的で簡単な質問についてのみ触れます。

準備する

そこで、初心者向けに、Zabbix監視サーバーをインストールしました。 プラットフォームとしてFreeBSD OSを使用します。 インストールと構成のプロセスについて詳しく説明する必要はないと思います。ロシア語の詳細なドキュメントは、インストールプロセスからすべてのシステム機能の説明まで、開発者のWebサイトにあります。
サーバーがインストールされ、構成され、それとともに動作するようにWebフロントエンドが構成されていると想定します。 この記事の執筆時点では、システムはOS FreeBSD 9.1、Zabbix 2.2.1を実行しています。

MS Windows Serverセキュリティイベントの監視

Zabbix監視システムを使用すると、Windowsシステムログから利用可能な情報を任意の詳細度で収集できます。 これは、Windowsがイベントをログに書き込む場合、ZabbixがイベントID、テキスト、バイナリマスクなどによってそれを「見る」ことを意味します。 さらに、Zabbixを使用すると、セキュリティを監視するための膨大な数の興味深いイベントを確認および収集できます。たとえば、実行中のプロセス、接続のオープン、dllが使用するカーネルにロードされたドライバー、コンソールまたはリモートユーザーアクセスを介したログインなどです。

残っているのは、予想される脅威の実現中に発生するイベントを識別することです。

ITインフラストラクチャでISイベントを監視するためのソリューションを確立する場合、すべてを連続して追跡したいという要望と、ISイベントに関する大量の情報を処理する能力とのバランスを選択する必要性を考慮する必要があります。 ここで、Zabbixは選択の大きな機会を提供します。 ZabbixキーモジュールはC / C ++で書かれており、ネットワークからの記録速度と監視イベントの処理速度は、DBMSが正しく設定された通常のサーバーで毎秒1万個の新しい値です。

これにより、Windows上の監視対象ホストで最も重要なセキュリティイベントを追跡できます。

したがって、まず最初に、イベントIDを持つテーブルを検討してください。これは、明らかに、情報セキュリティイベントの監視に使用できます。

IBイベントWindows Serverセキュリティログ

EventIDの説明	2008サーバー	2003サーバー
監査ログの消去	1102	517
アカウントのログインに成功しました	4624	528、540
アカウントがログインに失敗しました	4625	529-535、539
作成されたユーザーアカウント	4720	624
アカウントのパスワードをリセットしようとしています	4724	628
無効なユーザーアカウント	4725	629
ユーザーアカウントを削除しました	4726	630
安全なローカルセキュリティグループが作成されました	4731	635
保護されたローカルグループに追加されたメンバー	4732	636
保護されたローカルグループからメンバーを削除しました	4733	637
削除されたセキュアローカルセキュリティグループ	4734	638
セキュアローカルセキュリティグループが変更されました	4735	639
ユーザーアカウントが変更されました	4738	642
ロックされたユーザーアカウント	4740	644
アカウント名が変更されました	4781	685

ローカルセキュリティグループに注意を払っていますが、より複雑なADスキームでは、同じ一般グループとグローバルグループを考慮する必要があります。
情報を重複させないために、記事で重要なイベントの詳細を読むことができます。
http://habrahabr.ru/company/netwrix/blog/148501/

情報セキュリティMS Windows Serverのイベントを監視する方法

このタスクの実用的なアプリケーションを検討してください。
データを収集するには、新しいデータ項目を作成する必要があります。

: eventlog[Security,,,,1102|4624|4625|4720|4724|4725|4726|4731|4732|4733|4734|4735|4738|4781]   : Zabbix  ()  :  () 

必要に応じて、イベントIDごとに個別のデータ要素を作成できますが、1つのキーで複数のイベントIDを使用してすべてのレコードを1か所に保存するため、異なるデータ要素を切り替えることなく必要な情報をすばやく検索できます。

このキーでは、セキュリティイベントログを名前として使用していることに注意してください。
データ項目を受け取ったので、トリガーを構成する必要があります。 トリガーは、監視対象イベントのいずれかが発生したことを通知できるZabbixメカニズムです。 私たちの場合、これはサーバーログまたはMS Windowsワークステーションからのイベントです。

これで、指定したイベントIDで監査ログを記録するすべてのものが監視サーバーに転送されます。 特定のイベントIDを指定すると、必要な情報のみが取得され、それ以上の情報は得られないという点で便利です。

トリガー式の1つを次に示します。

 {Template Windows - Eventlog 2008:eventlog[Security,,,,1102|4624|4625|4720|4724|4725|4726|4731|4732|4733|4734|4735|4738|4781].logeventid(4624)}=1&{Template Windows - Eventlog 2008:eventlog[Security,,,,1102|4624|4625|4720|4724|4725|4726|4731|4732|4733|4734|4735|4738|4781].nodata(5m)}=0 

この式により、ダッシュボードに「アカウントでのログインに成功しました」という情報を表示できます。これは、MS Windows Server 2008のイベントID 4624に対応します。この間に再ログインが行われなかった場合、イベントは5分後に消えます

「管理者」などの特定のユーザーを追跡する必要がある場合は、トリガー式に正規表現検証を追加できます。

 &{Template Windows - Eventlog 2008:eventlog[Security,,,,1102|4624|4625|4720|4724|4725|4726|4731|4732|4733|4734|4735|4738|4781,,skip].regexp()}=1 

トリガーは、システムが「管理者」という名前のアカウントでログインしている場合にのみ機能します。

PS

最も単純な例を検討しましたが、より複雑な構造も使用できます。 たとえば、ログインタイプ、エラーコード、正規表現、およびその他のパラメーターを使用します。

したがって、Windowsシステムによって生成される大量のメッセージは、目ではなくZabbixによってチェックされます。 Zabbixダッシュボードのみを見ることができます。
さらに、通知を電子メールで送信するように構成しました。 これにより、イベントに迅速に対応でき、営業時間外などに発生したイベントを見逃すことはありません。

Unixシステムのセキュリティイベント監視

Zabbix監視システムでは、UnixファミリーOSのログファイルから情報を収集することもできます。

すべての人に適したUnixシステム上のIBイベント

Unixファミリシステムのこのようなセキュリティの問題は、アカウントのパスワードを選択する試みと、SSH、FTPなどの認証ツールの脆弱性を検索する試みと同じです。

Unixシステム上のいくつかの重要なイベント

上記に基づいて、システム内のユーザーアカウントの追加、変更、削除に関連するアクションを監視する必要があります。
また、重要な事実は、システムへのログイン試行を追跡することです。 sudoers、passwdなどの主要ファイルの変更/ rc.conf、ディレクトリの内容/usr/local/etc/rc.d実行中のプロセスの存在など。

Unixシステムでのセキュリティ監視方法

次の例を考えてみましょう。 SSHプロトコルを使用して、FreeBSDシステムでログイン、失敗したログイン試行、パスワード推測試行を追跡する必要があります。

これに関するすべての情報は、ログファイル/var/log/auth.logに含まれています。
デフォルトでは、このファイルに対する権限は600であり、root権限でのみ表示できます。 ローカルセキュリティポリシーを少し犠牲にして、このグループのzabbixユーザーにこのファイルの読み取りを許可する必要があります。
ファイルのアクセス許可を変更します。

 chgrp zabbix /var/log/auth.log chmod 640 /var/log/auth.log 

次のキーを持つ新しいデータ項目が必要です。

 log[/var/log/auth.log,sshd,,,skip] 

「sshd」という単語を含む/var/log/auth.logファイルのすべての行は、エージェントによって監視サーバーに送信されます。

次に、次の式を使用してトリガーを構成できます。

 {Template FreeBSD - SSH:log[/var/log/auth.log,sshd,,,skip].regexp(error:)}|{Template FreeBSD - SSH:log[/var/log/auth.log,sshd,,,skip].regexp(Wrong passwordr:)}&{Template FreeBSD - SSH:log[/var/log/auth.log,sshd,,,skip].nodata(3m)}=0 

この式は、正規表現「error：」によって選択されたエントリがログファイルに表示されるときの問題として定義されます。 受信したデータの履歴を開くと、SSHプロトコルを使用した認証中に発生したエラーが表示されます。

このトリガーをトリガーするデータ要素の最後の値の例を次に示します。



FreeBSDでのセキュリティ監視の別の例を考えてみましょう。
Zabbixエージェントを使用して、/ etc / passwdファイルのチェックサムを確認できます。
この場合のキーは次のとおりです。

 vfs.file.cksum[/etc/passwd] 

これにより、パスワードの変更、ユーザーの追加または削除など、アカウントの変更を制御できます。 この場合、実行された特定の操作はわかりませんが、あなた以外に誰もサーバーにアクセスできない場合、これは迅速な応答の機会です。 より詳細なポリシーを実行する必要がある場合は、他のキー（ユーザーパラメーターなど）を使用できます。

たとえば、現在システムにログインしているユーザーのリストを取得する場合、次のユーザーパラメーターを使用できます。

 UserParameter=system.users.list, /bin/cat /etc/passwd | grep -v "#" | awk -F\: '{print $$1}' 

そして、例えば、結果リストで変更するトリガーを構成します。

または、次のような単純なパラメーターを使用できます。

 UserParameter=system.users.online, /usr/bin/users 

そのため、現在システムにいるユーザーをダッシュ​​ボードで確認できます。

ネットワークデバイス上のISイベントの監視

Zabbixを使用すると、SNMPを使用してCiscoおよびJuniperネットワークデバイス上のIBイベントを非常に効率的に監視することもできます。 デバイスからのデータ送信は、いわゆるトラップ（SNMPトラップ）を使用して実行されます。

情報セキュリティの観点から、監視が必要な次のイベントを区別できます。機器の構成の変更、スイッチ/ルーターでのコマンドの実行、認証の成功、ログイン試行の失敗などです。

モニタリング方法

承認の例を再度検討してください。
スタンドとして、Cisco 3745ルーターでGNS3エミュレータを使用しますが、多くの人がこのスキームに精通していると思います。

最初に、SNMPトラップをルーターから監視サーバーに送信するように設定する必要があります。 私の場合、次のようになります。

 login block-for 30 attempts 3 within 60 login on-failure log login on-success log login delay 5 logging history 5 snmp-server enable traps syslog snmp-server enable traps snmp authentication snmp-server host 192.168.1.1 public 

Syslogおよび認証ラダーからイベントを送信します。 認証の成功と失敗は、Syslogに正確に書き込まれます。

次に、監視サーバーで必要なSNMPトラップの受信を構成する必要があります。
snmptt.confに次の行を追加します。

 EVENT clogMessageGenerated .1.3.6.1.4.1.9.9.41.2.0.1 "Status Events" Normal FORMAT ZBXTRAP $ar $N $* SDESC EDESC 

この例では、Syslogラダーをキャッチします。

ここで、次のキーを使用して統計を収集するようにデータ項目を構成する必要があります。

 snmptrap[“Status”] 

ラダーが監視サーバーで構成されていない場合、サーバーログに次のエントリが表示されます。

 unmatched trap received from [192.168.1.14]:... 

その結果、詳細な情報（ユーザー、ソース、ローカルポート、失敗した場合の理由）を含むログイン試行に関する情報が、受信したログに反映されます。



さて、ダッシュボードにイベントを表示するようにトリガーを構成できます。

 {192.168.1.14:snmptrap["Status"].regexp(LOGIN_FAILED)}&{192.168.1.14:snmptrap["Status"].nodata(3m)}=0 

前の段落と組み合わせて、ダッシュボードにそのような計画に関する情報があります。



上記の例と同様に、Ciscoルーターで発生する多数のイベントを監視することができますが、1つの記事では明らかに不十分です。

上記の例は、Cisco ASAおよびPIX製品では機能しないことに注意してください。許可ロギングの作業は、そこでは多少異なるように編成されているためです。

ジュニパーとSyslog

別の例として、JuniperデバイスのJunOS 12.1での承認監視を調べます。
ここでは、Syslogメッセージからのトラップ送信をサポートしていないため、SNMPトラップを使用できません。 UnixベースのSyslogサーバーが必要です。この場合、同じ監視サーバーになります。

ルータで、ストレージサーバに送信するSyslogを設定する必要があります。

 system syslog host 192.168.1.1 authorization info 

これで、すべての認証メッセージがSyslogサーバーに送信されます。もちろん、すべてのメッセージ（任意）を送信できますが、余分な情報は必要ありません。必要なものだけを送信します。

次に、syslogサーバーに移動します
メッセージが来たかどうかにかかわらず、tcpdumpを確認します。

 tcpdump -n -i em0 host 192.168.1.112 and port 514 12:22:27.437735 IP 192.168.1.112.514 > 192.168.1.1.514: SYSLOG auth.info, length: 106 

デフォルトでは、syslog.conf設定で、auth.infoに付属するすべてのものが/var/log/auth.logに書き込まれます。 次に、Unixで入力を監視する例と同様にすべてを行います。

ログからの行の例を次に示します。



このイベントのトリガーを設定するのは、Unixサーバーでの許可の例で考えられたのと同じ方法でのみです。

PS

このようにして、デバイス構成の保存（コミット）、構成編集モードの開始と終了（編集）など、多くのイベントを追跡できます。
また、Ciscoデバイスで同様の方法で監視できますが、SNMPトラップを使用した方法はより高速で便利なように思われ、中間のSyslogサーバーは不要になります。

おわりに

結論として、この記事へのコメントと追加、およびZabbixを使用した情報セキュリティイベントモニタリングの使用に関する興味深い提案を喜んで受け入れます。
ご清聴ありがとうございました。 :)