“SIEM과 SOAR로 모자랄 때” 윈도우 서버에서 이벤트 수집을 활성화하는 방법

이벤트 로그는 시스템에서 발생하는 소프트웨어나 하드웨어에 이벤트 관련 정보를 등록하는 컴퓨터 보안 팀의 핵심 무기이다. 윈도 서버는 현재 다양한 버전의 다른 시스템에서 중앙 이벤트 로그 서버에 시스템 이벤트 로그를 집계하기 위한 윈도 이벤트 전달(WEF)를 제공했다.하이엔드 보안 정보 및 이벤트 관리(Security Information and Event Management, SIEM)또는 보안/오케스트레이션/자동화/대응(Security, Orchestration, Automation, and Response, SOAR)시스템은 로그 이벤트 데이터를 수집하고 상관 관계를 파악할 수 있을 뿐 아니라 콘텍스트를 추가하는 심층 분석하고, 사고 대응을 개시할 수 있어 엔터프라이즈 환경에서 이상적이다.

ⓒ 게티이미지뱅크

SIEM と SOAR で十分でない場合、他社のSIEM ツールではイベントログ要求事項をすべて満たしていない場合が多い。 普通は単純に費用の問題だ。 SIEM とSOAR ツールの価格はそれぞれ異なるが、モニタリングされるホスト、収集されるイベントデータボリューム、ユーザ数または分析のためのCPU 使用コストの一部の組み合わせによることが多い。 エンタープライズ イベント ログ システム アクセスが不足している 2 番目のセキュリティである。 イベントログデータには、システム構成、ホスト名、ユーザー名、およびシステム脆弱性の詳細が含まれる可能性があります。 このようなデータは、悪意のあるユーザーが攻撃の第一段階としてシステムをプロファイリングする上で非常に有用であるため、イベントログデータを保護する価値のあるリソースにすることができる。SIEMタイプのソリューションが理想的でない3番目の理由は、インターネットにアクセスできない閉鎖型ネットワークにある。 セキュリティ上のクローズド ネットワークが必要な理由はいくつかある。 SIEMツールはオフラインで使用できるが、クラウドサポート製品とほぼ同じ機能セットを提供することはできない。 ウィンドウイベント配信の代案としては、ウィンRM(Windows Remote Management)を使用するウィンドウイベント配信がある。 ウィンRMは、Windows PowerShell Remote(Windows PowerShell Remote)またはWindows管理センター(Windows Admin Center)のようなツールで使用するプロトコルと同じである。 ウィンRMをWEFの基本基盤として使えば確実な利点がある。 第一に、現代の多くのWindowsネットワークは、すでにWinRMを有効にし、構成するようになっている(サービスの活性化、権限管理など)。 第二に、ウィンドウドメイン内のウィンRMトラフィックは基本的にカベロスを使用して暗号化されるため、本質的にセキュリティ選択肢となる。 同じドメインにないシステムは設定が少し複雑だが、HTTPSおよび証明書を使用してセキュリティを確保することもできる。また、SIEMまたはSOARソリューションとは独立してWEFを使用する必要がないことも言及に値する。 実際、WEFは全体設定を簡素化するために中央ログサーバーにイベントを収集する第一段階だ。 グループポリシーを活用して配信を構成した後、イベントを他社のロギングソリューションに提出することができる。 イベント収集の前提条件を構成するいくつかのステップを実行すれば、配信されたイベントを受信できるコレクターサーバーが確保されるだろう。 一部の要件は(いくつかの要因によって)既に完了しているかもしれないが、いずれにせよ基本的な手順は次のとおりである。第一段階は、ウィンRMが作動するように活性化して構成することだ。 これには、サービスが開始され、正しい開始タイプで構成されていることを確認し、ウィンRM受信機を作成し、Windowsファイアウォールで例外を構成し、使用権限を設定することなどが含まれる。 単一のコンピュータでこれらすべてのタスクを実行する最も簡単な方法は、上昇したプロンプトでEnable-PSRemoting PowerShellcmdletを実行することだ。 ウィンドウドメインでは、すべてのコンピュータで、または少なくともすべてのサーバでウィンRMを使用するように設定できるため、グループポリシーを使用して作業を処理することもできる。グループポリシーオブジェクト(GPO)を通じてウィンRMを構成するには、次のステップを実行する。WS-管理サービスを構成するには:コンピュータ構成/ウィンドウ設定/セキュリティ設定/システムサービス/ウィンドウリモート(WS-管理)’このポリシー設定定義’をクリックする。’自動’を選択する。Windowsファイアウォールポートを開くには:コンピュータ構成/Windows設定/セキュリティ設定/高級セキュリティ用Windowsディフェンダーファイアウォールに移動する。新しいインバウンドルールを作る。 事前定義(Predefined)を選択し、ウィンドウ遠隔管理を選ぶ。 [次へ] をクリックする。ドメイン/私設ネットワークボックスにチェックする。 [次へ] をクリックする。接続許容デフォルト値を受け入れる。 [完了] をクリックする。ウィンRM受信機の作成:コンピュータ構成/管理テンプレート/ウィンドウコンポーネント/ウィンドウリモート管理(ウィンRM)/ウィンRMサービス「ウィンRM設定によるリモートサーバ管理許可」を構成する。「活性化」を選択し、IPv4 及びIPv6 フィルター フィールドの両方で別表(*)をワイルドカード値として使用する。 これにより、権限のあるすべてのホストが受信機を使用できる。確認ボタンをクリックする。ウィンRMが適切に構成されているかを確認するには、管理者資格証明があるアカウントを使用して、リモートコンピュータでInvoke-Command-ComputerName [Collector Server Hostname] – ScriptBlock{$true}を実行すればよい。 このコマンドは、パワーシェルリモートを使用してリモートコンピュータに接続し、非常に簡単なコマンドを実行します。 イベント収集を活性化するには、RMが活性化されれば、イベント収集をオンにすることができる。 最初のステップは、Windowsイベントコレクターサービスを開始し、自動的に開始するように構成することだ。 管理パワーシェルプロンプトでGet-Service Wecsvc|Set-Service-StartupType Automatic-PassThru|Start-Serviceコマンドを使用し、パワーシェルを使用してこのようにすることができる。 他の方法としては、イベントビューアアプリトを開き、左側の探索メニューで購読ノードをクリックすることができる。 購読ノードはウィンドウイベントコレクターサービスを活性化し、自動開始のために構成するようにというダイアログボックスを表示する。これでウィンRMとウィンドウイベントコレクターサービスが構成されたので、ログイベントを収集して保存するメカニズムを実際に作ることができる。イベントビューアアプレットのサブスクリプションセクションで、右側のアクション メニューのサブスクリプション作成オプションをクリックする。 購読には名前が必要であり、説明も提供できる。 その後、サブスクリプションイベントを保存するのに使用するコレクターサーバーのイベントログとサブスクリプションをコレクター開始(ログイベントのあるコンピューターからコレクターサーバーから引く)、またはソースコンピューター開始(ログイベントのあるコンピューターがイベントをコレクターサーバーに押す)するかを選択する。 おそらく「ソースコンピュータの開始」を選択するだろうが、この場合には購読にログイベントを送る権限が付与されるコンピュータアカウントを含む1つ以上のグループがなければならない。最後の 2 つのサブスクリプション オプションは、もう少し複雑です。 一つ目はイベントフィルター構成、すなわち範囲を制限したり多様なイベントタイプを複数の購読に類型化することだ。 前者は、関連性のない、または重要でないイベントがもたらすノイズレベルと、伝達されたイベント収集の帯域幅および保存要件の両方を制御する。 後者は、より洗練されたコンテキストに使用できます。 購読フィルターは収集されたイベントを時間、イベントレベル(重要、エラーなど)、イベントログ(アプリケーション、セキュリティ、システム、配信されたイベントなど)、イベントID、キーワードまたは特定のコンピュータまたはユーザー別に整えることができる。 サブスクリプションフィルターは、一般的なウィンドウイベントログまたは配信されたイベントログのいずれかに関係なく、特定のイベントを適切なログにルーティングするようにイベントログ設定に合わせて計画されなければならない。サブスクリプションを構成する最後のオプションは高度な設定であるが、これにはイベント転送最適化(一般、帯域幅最小化または遅延時間最小化)およびプロトコル(HTTPまたはHTTPS)が含まれる。 配信最適化は、一般的に15分ごとに5つずつイベントを一括して持ち込む「一般設定」として残しておく必要がある。 帯域幅が制限された環境ではイベント伝達速度が6時間ごとに一度に遅くなる「帯域幅最小化オプション」を使用することを考慮しなければならない。 購読で15分周期よりはもっと頻繁にイベントを伝達しなければならない時、適時性を高めるためには30秒ごとにイベントを伝達する「遅延時間最小化」オプションを活用しなければならない。「イベント配信最適化」オプション項目にあるユーザ定義オプションを発見することもできるだろう。 ユーザー指定配信最適化は、wecutilコマンドラインユーティリティのみを使用することで、イベントビューアアアプトを使用して管理することはできない。 不思議なことにユーティリティ用の他社のパワーシェルラッパーがいくつかあるが、wecutilと同等の内蔵型パワーシェルはないように見える。 高級パワーシェル技術を保有していれば、確実に代案を用意することができる。 wecutilコマンドラインユーティリティを使用すると、ハートビット、配置(batch)する最大項目数および配置配信の最大遅延時間のような性能設定を構成することができる。 ドメイン環境ではイベント配信トラフィックがカベロスを使用して暗号化されるため、セキュリティの観点からはHTTPプロトコルが完全に十分でなければならないが、ドメイン以外の環境でのイベント収集にはHTTPSを活性化することもできる。 この場合、前段階でコンピュータグループを選択する際に証明書信頼を設定するために他社SSL証明書が定義されなければならないことに留意しよう。[email protected]

 

error: Content is protected !!