はじめに
エンドポイント製品は、導入後の管理や運用負荷が大きくなってしまうものです。そこで、運用時のアラート管理のしやすさが重要になってくるのではないでしょうか。
SESでは、ログ管理機能やレポート機能が充実しているため、負担を軽減することができます。
本記事では、SESでのインシデントログの見方をご紹介いたします。
一連の検証手順を記載する都合上、内容が少し長くなってしまいますので、運用方法の確認のみにご興味がある方は 3. 管理コンソールからのログ確認方法 からお読みいただければ幸いです。
目次
1. 検証内容
2. 検証方法
3. 管理コンソールからのログ確認方法
4. レポート機能
5. まとめ
1. 検証内容
本検証では、SES管理下のクライアント端末でインシデントログを発生させて、管理コンソールからログの確認を行います。
今回は、マルウェア対策、ビヘイビア分析(SONAR)、侵入防止のインシデントで検証を実施しました。
2. 検証方法
SES管理下のクライアント端末に、マルウェア対策、侵入防止のポリシーを適用し、インシデントを発生させます。ビヘイビア分析(SONAR)の設定は、マルウェア対策ポリシー内にあります。
◇マルウェア対策
シグネチャ方式による既存の脆弱性検知やAuto-Protect機能、SONAR機能を使った振る舞い検知等を保有したポリシーです。Auto-Protect機能では、ファイルがクライアントに読み書きされる時や特定の拡張子に対してスキャンを行い、安全性を検査します。
◇ビヘイビア分析
Symantecが提供する未知の脅威を検出するための機能であり、マルウェア特有の振る舞いを監視し、封じ込みます。
◇侵入防止
サーバーやネットワークを監視し、不正なアクセス・異常な通信をブロックする機能です。
◆マルウェア対策
マルウェア対策ポリシーが有効になっていることを確認します。クライアント端末でeicarテストファイルをダウンロードすると、クライアント端末に警告と検出結果が表示されます。
◆ビヘイビア分析(SONAR)
マルウェア対策ポリシー内の「ビヘイビア分析」>「リモートコンピュータ上でファイルをスキャンする」の項目が有効化されていることを確認します。
下記URLからsocar.exe* テストファイルをダウンロードします。
https://knowledge.broadcom.com/external/article?legacyId=tech216647
*SONARがコンピュータ上で動作するかをテストするために、Symantecが作成したテストファイル
クライアント端末でダウンロードしたsocar.zipを展開し、socar.exeファイルを開きます。ファイルは開くことができず、クライアント端末に警告と検出結果が表示されます。
◆侵入防止
Intrusion Preventionポリシーを開き、「拡張設定」>「Intrusion Prevention」の項目が有効化されていることを確認します。
実行ファイル (.exe) の名前をjpeg (.jpg) に変更し、Webサーバにアップロードしておきます。
クライアント端末のWebブラウザから、名前を変更したファイル (.jpg) を開きます。ファイルは開けず、以下のような警告が表示されます。
※検証内容につきましては、下記ページから詳細を確認することができます。
https://techdocs.broadcom.com/jp/ja/symantec-security-software/endpoint-security-and-management/endpoint-protection/all/Using-policies-to-manage-security/testing-policies-v99640437-d55e2211.html
3. 管理コンソールからのログ確認方法
◆ダッシュボード
クラウド管理コンソール(ICDm)のダッシュボードから、インシデントを確認する手順をご紹介します。
「ホーム」の「脅威防止」ダッシュボードから、遮断された脅威の件数を確認できます。
脅威防止ウィジェット内の「遮断された脅威」をクリックすると、「検出済みアイテム」に遷移します。ここでは、マルウェア対策やビヘイビア分析にて遮断されたファイルを確認することができます。
Intrusion Prevention KPIウィジェット内の「遮断された脅威」をクリックすると、「解析」に遷移します。ここでは、侵入防止にて遮断されたトラフィックのログを確認することができます。
◆検出済みアイテム
「検出済みアイテム」では、遮断されたファイルの一覧が表示されます。
検出ファイルを選択すると、ファイル詳細から該当デバイスやポリシーの確認が可能です。
◆解析
「解析」では、ログの一覧が表示されます。
ログを選択すると、ログ詳細から該当デバイスやポリシーの確認が可能です。
※ログ検索
「解析」では、クイックフィルタやグループ基準から、セキュリティ技術やポリシーごとにログをフィルタする機能もございます。
※最近のセキュリティイベント
ダッシュボードの「最近のセキュリティイベント」のウィジェットからも、インシデントをご確認いただくことができます。各イベントの線上をクリックすると、解析タブの該当ログ画面に遷移します。
4. レポート機能
テンプレートから簡単にレポートを作成することができます。
作成されたレポートは項目ごとにグラフ化されており、対処が必要なデバイスやリスクがわかりやすくなっています。
5. まとめ
今回は、SESでのアラート管理についてご紹介いたしました。
SESでは、管理コンソールのダッシュボード上で各アラートをご確認いただけます。また、ダッシュボードから直接、該当の検出ファイルやログ一覧に遷移することができるため、SESを新規でご利用されるお客様でも、スムーズにご利用いただけるかと思います。
ご拝読いただきありがとうございました。
SEPからSESへの移行ガイドはこちら
著者紹介
SB C&S株式会社
技術統括部 第2技術部 2課
中村 愛佳