Deep Securityの正常動作を確認する: 「セキュリティログ監視」編

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、虎塚です。

トレンドマイクロ社のDeep Securityには、サーバへのログインやユーザ/グループの追加など、セキュリティ関連ログを監視する機能があります。

この記事では、システムに導入したDeep Security(バージョン9.5)で、セキュリティログ監視機能が正しく動作していることを確認する手順をまとめます。なお、保護対象サーバはCentOS 7で、推奨設定の検索で割り当てを推奨されたルールを適用しているものとします。

Deep Securityの変更監視機能の動作確認手順については、次の記事をご参照ください。

概要

まず、セキュリティログ監視の機能で、検知するイベントの重要度を最低レベルにします。次に、保護対象サーバにSSHログインします。それから、Deep Security Managerの管理画面で、イベントが検出されることを確認します。最後に、先ほど下げた重要度を元に戻しておきましょう。

検知するイベントの重要度を下げると、様々なセキュリティイベントが検出されます。確認をなるべく短時間で完了できるように、次に紹介する手順で段取りよく実施するのがおすすめです。

手順

1. 適用ルールの確認

動作確認のために利用するルールが、保護対象サーバに割り当てられていることを確認します。

ブラウザからDeep Security Managerの管理画面にログインします。[コンピュータ]で対象のサーバをダブルクリック→[セキュリティログ監視]→[一般]タブ→[現在割り当てられているセキュリティログ監視ルール]の一覧に、「1002828 - Application - Secure Shell Daemon (SSHD)」があることを確認します。

割り当てられているセキュリティログ監視ルール

ルールをダブルクリックして、[設定]タブを開きます。

「5715 - SSHD authentication success」

「5715 - SSHD authentication success」という設定があります。これは、サーバへのSSHログイン成功を検知するための設定です。今回は、この内容が検知されることを確認します。

2. 保護対象サーバへのSSHログインの準備

セキュリティログ監視機能の保護対象サーバを特定し、ローカルマシンのターミナルでSSHログインの準備をします。

sshコマンドに続けて、SSH接続プロフィール(もしくは利用するSSH秘密鍵、ログインユーザ、ホスト名)を指定し、returnキーを押すだけで保護対象サーバにログインできる状態にしておきましょう。

このステップでは実際にログインせず、この状態のままターミナルを開いておきます。

3. DSMに送信するイベントの重要度の変更

ブラウザからDeep Security Managerの管理画面にログインします。[コンピュータ]で対象のサーバをダブルクリック→[セキュリティログ監視]→[詳細]タブ→[重要度のクリッピング]を表示します。

[Agent/Applianceイベントが次の重要度以上の場合に、イベントを記録してDSMに送信]のドロップダウンリストの値を、「低 (0)」に設定します。動作確認が完了した後、元の値に戻すので、変更する前に既存の設定値を控えておきましょう。今回は「継承 (中 (6))」となっていました。

イベントの重要度を変更する

ここで選択した重要度以上のイベントが発生すると、Deep Security Managerに送信されます。今回の変更の結果、0以上の重要度のイベントが対象になるため、すべてのイベントがDeep Security Managerに通知されるようになります。

設定を変更したら、[保存]ボタンをクリックして、元の[コンピュータ]画面を確認します。保護対象サーバの[ステータス]列の値が、一旦「ポリシー送信中」に変化します。

「ポリシー送信中」ステータス

保護対象サーバ側で変更が反映されて、[ステータス]列の値が「管理対象 (オンライン)」に戻ったことを確認したら、ステップ3以降の手順を手早く実施します。

4. 保護対象サーバへのSSHログイン

ローカルマシンのターミナルから、保護対象サーバにSSHでログインします。ステップ2で準備しておいたターミナルで、returnキーを押します。

ログインに成功したら、すぐにexitでログアウトして構いません。

5. イベントの確認

Deep Security Managerの管理画面に戻り、発生したセキュリティログ監視イベントを確認します。[コンピュータ]で対象のサーバをダブルクリック→[セキュリティログ監視]→[イベント]タブを表示します。すぐに表示されない場合は、[イベントの取得]ボタンをクリックして、しばらく待ちましょう。

セキュリティログ監視で発生したイベントを確認する

図のように、「1002828 - Application - Secure Shell Daemon (SSHD)」のルールでイベントが検出されていれば、動作確認は成功です。

6. DSMに送信するイベントの重要度の復帰

ここからは、後始末です。ステップ3で変更した検出対象のイベント重要度を、元に戻します。

Deep Security Managerの管理画面の[コンピュータ]で対象のサーバをダブルクリック→[セキュリティログ監視]→[詳細]タブ→[重要度のクリッピング]を表示します。

[Agent/Applianceイベントが次の重要度以上の場合に、イベントを記録してDSMに送信]のドロップダウンリストを、「低 (0)」から元の値に戻しておきましょう。今回は「継承 (中 (6))」に戻しました。

注意事項

セキュリティログ監視の動作確認をするには、ほかにも方法があります。たとえば、/var/log/secureログに、SSHログイン失敗のログを意図的に書き込み、検知されるかどうかを確認できます。

ただ、本当のインシデントとの見分けづらいことや、動作確認前の状態に復帰するために環境を変更する必要があることなどから、おすすめできません。今回採用したSSHログインのように、環境に対する副作用がなるべく軽微な内容で、動作確認をしたほうがよいと思います。

おわりに

Deep Securityの初期設定を実施したら、オンにした機能が有効になっているかどうか、念のために確認するようにしましょう。

それでは、また。