26:アクセスを拒否した監査ログのみを抽出するには?

今回のテーマ ・・・ アクセスを拒否した監査ログのみを抽出するには

Question: やりたいこと

DeviceLockで、社内のコンピューターに、デバイスやネットワークへのアクセス制御を設定しています。また同時に、社員が、どのようなデバイスやネットワークにアクセスしているのかを調査するために、全てのアクセスについて履歴(監査ログ)を残すようにしています。

この度、社内のセキュリティ会議で、社内のセキュリティポリシーに反したアクセスの現状について話し合うことになり、DeviceLock管理コンソールの「監査ログビューアー」画面を使って、情報を共有することにしました。

監査ログビューアーでは大量のログが見えており、見せたいポイントが絞りづらいのですが、必要な(セキュリティポリシーに反したアクセス)ログだけに限定して表示する方法はありますか。

Answer: こうすればできる

DeviceLock管理コンソールでは、「監査ログビューアー」をはじめとしたログ参照画面で、「フィルター」機能が使用できます。

ログの各項目に絞り込み条件を設定することで、条件に合致したログだけをビューアーに表示させることが可能になっています。
また「クイックフィルター」機能では、今日・今週・今月・今年、という期間指定で簡単に表示対象を絞ることもできます。

本件では「セキュリティポリシーに反したアクセス」のログが必要とのことですので、監査ログビューアーの「失敗」ログを抽出すればよいことになります。

Step: 設定方法

監査ログビューアーでは、日々生成されている監査ログの全てを参照できます。
本件では、アクセス拒否されたログを参照したいため、「タイプ」欄が「失敗」となっているログを抽出します。

  1. DeviceLock管理コンソールを起動して、ログを参照したいコンピューターのDeviceLock Serviceに接続します。
  2. 左ペインで[DeviceLock Service]-[監査ログビューアー]と展開すると、右ペインに、監査ログが一覧表示されます。
  3. 左ペインの[監査ログビューアー]を右クリックして表示されるコンテキストメニューから[フィルター…]を選択実行すると、[フィルター]設定ウインドウが開きます。
  4. [フィルター]設定では、まず[含有]か[除外]のどちらを設定するかをタブで指定します。
    含有 ・・ 各項目に指定した値を含む監査ログを抽出します。
    除外 ・・ 各項目に指定した値を含まない監査ログを抽出します。
    ここでは、「タイプ」が「失敗」となっているログを抽出したいため、[含有]タブをクリックして選択します。
  5. 画面左下の[フィルターをオン]チェックボックスをチェックすることで、各パラメーターの指定ができるようになります。
  6. [イベントタイプ]で[失敗]にチェック、[成功][警告][情報]はチェックなしとします。
  7. 他の項目は何も設定せず、[OK]ボタンをクリックして[フィルター]設定ウインドウを閉じます。
  8. 監査ログビューアーのログ一覧には、「タイプ」が「失敗」となっているログのみが残っています。

    以上で、アクセス拒否された監査ログを抽出して表示する設定は終了です。

Reference: 参考

  1. 監査ログビューアーのフィルター設定で指定できる項目(パラメーター)は、以下の通りです。
    • [イベントタイプ]
      タイプごとにイベントをフィルターする場合にチェックボックスを選択します。
      成功 ファイルやデータの読み込みまたは転送のような特定のアクションを許可したことを示します
      失敗 ファイルやデータの読み込みまたは転送のような特定のアクションを拒否したことを示します
      情報 コンテンツ検知に対してコンテンツ認識ルールを正常に適用したことを示します
      警告 対処されない限り問題を引き起こすであろう状態に直面したことを示します
    • [名前]
      監査ログビューアーの[名前]カラムの値と一致するテキストを入力します。
      大文字/小文字は区別されません。また、ワイルドカードを使用できます。
      複数の値をセミコロン(;)で区切って入力することができます。
    • [ソース]
      監査ログビューアーの[ソース]カラムの値と一致するテキストを選択または入力します。
      大文字/小文字は区別されません。また、ワイルドカードを使用できます。
      複数の値をセミコロン(;)で区切って入力することができます。
    • [アクション]
      監査ログビューアーの[アクション]カラムの値と一致するテキストを選択または入力します。
      大文字/小文字は区別されません。また、ワイルドカードを使用できます。
      複数の値をセミコロン(;)で区切って入力することができます。
    • [情報]
      監査ログビューアーの[情報]カラムの値と一致するテキストを入力します。
      大文字/小文字は区別されません。また、ワイルドカードを使用できます。
      複数の値をセミコロン(;)で区切って入力することができます。
    • [理由]
      監査ログビューアーの[理由]カラムの値と一致するテキストを選択または入力します。
      大文字/小文字は区別されません。また、ワイルドカードを使用できます。
      複数の値をセミコロン(;)で区切って入力することができます。
    • [ユーザー]
      監査ログビューアーの[ユーザー]カラムの値と一致するテキストを入力します。
      大文字/小文字は区別されません。また、ワイルドカードを使用できます。
      複数の値をセミコロン(;)で区切って入力することができます。
    • [プロセス]
      監査ログビューアーの[プロセス]カラムの値と一致するテキストを入力します。
      大文字/小文字は区別されません。また、ワイルドカードを使用できます。
      複数の値をセミコロン(;)で区切って入力することができます。
    • [PID]
      監査ログビューアーの[PID]カラムの値と一致する数値を入力します。
      複数の値をセミコロン(;)で区切って入力することができます。
    • [開始]
      フィルターしたいイベント範囲の開始日時を指定します。
      ログに記録されている最初のイベントから表示したい場合は[最初のイベント]を選択します。
      指定した日時以降に発生したイベントを表示したい場合は[イベント日時]を選択して日時を指定します。
    • [終了]
      フィルターしたいイベント範囲の終了日時を指定します。
      ログに記録されている最後のイベントまで表示したい場合は[最後のイベント]を選択します。
      指定した日時以前に発生したイベントを表示したい場合は[イベント日時]を選択して日時を指定します。

    指定されているすべてのフィールドおよび有効なフィルター([包含][除外])に対して、ANDロジックが適用されます。つまり、定義されているすべての条件を満たすレコードのみが、フィルター結果として表示されます。

    フィルター条件に含めたくないフィールドは、空のままにしてください。

  2. 一部のフィールドでは、ワイルドカードを使用できます。ワイルドカードとは、フィルターを定義するときに、1つまたは複数の任意の文字をアスタリスク(*)やクエスチョンマーク(?)などの文字で置き換えることです。

    アスタリスクは、0個以上の文字として代用できます。例えば、「win」で始まることはわかっているが、その続きを思い出すことができない名前を検索する場合は、「win*」と指定します。それにより、Windows、Winner、Windなどの「win」で始まるすべての名前が検索されます。

    クエスチョンマークは、名前の中の1文字として代用できます。例えば、「win?」と入力した場合、Windは検索されますが、WindowsやWinnerは検索されません。
  3. フィルター機能としては、別に「クイックフィルター」があります。

    これは、[今日][今週][今月][今年]、という期間範囲を指定して、簡単に表示対象を絞り込むことができます。

    DeviceLock管理コンソールからクライアントPCに接続し、[DeviceLock Service]-[監査ログビューアー]と展開して、[監査ログビューアー]を右クリックして表示されるコンテキスト メニューから[クイックフィルター]を選択実行し、サブメニューから[今日][今週][今月][今年]のいずれかを選択すると、指定した範囲のログのみを抽出して表示します。

DeviceLockテクニカルガイドとは?

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム