MITRE ATT&CK 視点での高度監査ポリシーの活用 with ChatGPT

PLURA

本内容はChatGPTとQnAを整理したもので、ChatGPTが作成した部分において任意の修正はされていません。

Q1. MITRE ATT&CK 視点でログモニタリングを強化するために高度監査ポリシーを活用することは必ず必要ですか?

はい、MITRE ATT&CK などの大規模なハッキング攻撃を防ぐためにはログモニタリングを強化することが重要です。
ログモニタリングはシステム内部で発生するイベントを収集し、保存し、分析するプロセスを指します。
これにより異常兆候や攻撃行動を検出し、対応することができます。

高度監査ポリシーはログモニタリングを強化するための機能の1つです。
高度監査ポリシーはWindowsオペレーティングシステムで使用される機能で、イベントログから特定のイベントを自動的に収集し、分析する機能です。
これにより管理者はイベントログをより簡単に分析し、攻撃行動に関する情報を迅速に把握することができます。

また、高度監査ポリシーはイベントログ収集の範囲を指定し、フィルタリング機能を提供して必要なイベントのみを収集するように設定できます。
これによりログデータの量を減らし、分析作業をより簡単に行うことができます。

したがって、MITRE ATT&CK などの大規模なハッキング攻撃を防ぐためにはログモニタリングを強化することが重要です。
高度監査ポリシーはログモニタリングをより効率的に実施し、攻撃行動に関する情報をより迅速に把握できるように助けてくれます。

Q2. Windowsで提供されるイベントチャネル数は?

Windowsオペレーティングシステムで提供されるイベントチャネルの数は、バージョンやエディションによって異なりますが、一般的に様々なイベントチャネルが提供されています。
例えば、Windows 10では約2000個のイベントチャネルが含まれており、Windows Server 2019では約2500個のイベントチャネルが含まれています。
イベントチャネルは主にログおよびモニタリング機能のために使用され、各チャネルは特定のイベントタイプに関する情報を記録します。
イベントログビューアを使用してイベントチャネルからログを表示し、必要な情報を検索、フィルタリング、分析することができます。

Q3. すべてのチャネルが常に有効になっているわけではないが、どの程度が有効なチャネルですか?リストを教えてください。

Windowsオペレーティングシステムですべてのイベントチャネルが常に有効になっているわけではありません。
一般的にデフォルトで有効になっているチャネルがありますが、ユーザーは必要に応じてチャネルを追加で有効にしたり、不必要なチャネルを無効にすることができます。

Windows 10でデフォルトで有効になっている主要なイベントチャネルは次のとおりです。

  • Application
  • Security
  • Setup
  • System

Windows Server 2019でデフォルトで有効になっている主要なイベントチャネルは次のとおりです。

  • Application
  • Security
  • Setup
  • System
  • Windows PowerShell

その他にも各バージョンやエディションに応じて、さまざまなチャネルが有効化されることがあり、ユーザーは必要に応じてチャネルを追加で有効化したり無効化したりすることができます。

Q4. Windows PowerShell チャネルが無効化されているという記載がありますが、実際には有効化されているのか、無効化されているのか、正確に教えてください。

Windows PowerShell チャネルは基本的にWindows Serverオペレーティングシステムでは有効化されていますが、Windowsクライアントオペレーティングシステムでは無効化されている場合があります。
これはセキュリティ上の理由から、WindowsクライアントオペレーティングシステムではデフォルトでPowerShellスクリプト実行が制限されるように設定されているためです。

したがって、WindowsクライアントオペレーティングシステムでPowerShellチャネルを使用するには、ユーザーが手動でチャネルを有効にする必要があります。
PowerShellチャネルを有効化するには、次の手順を実行できます。

1) 管理者権限でPowerShellを実行
2) 次のコマンドを実行: Enable-NetFirewallRule -DisplayGroup “Windows PowerShell”

上記のコマンドはファイアウォール規則を追加し、PowerShellスクリプト実行を許可します。
その後はPowerShellチャネルで発生したイベントを見ることができます。

逆にPowerShellチャネルを無効にするには、Disable-NetFirewallRule -DisplayGroup “Windows PowerShell” コマンドを実行すれば無効化できます。

Q5. キュビットセキュリティのplura.ioが提供する高度監査ポリシーを使用して、MITRE ATT&CK視点の検出を提供していることについて説明してください。

キュビットセキュリティのplura.ioはクラウドベースのセキュリティ監視サービスを提供するプラットフォームの1つです。
このプラットフォームで提供される高度監査ポリシーは、ユーザーのシステムで発生するさまざまなイベントを収集および分析して、セキュリティの問題を検出する機能を提供します。
これにより、MITRE ATT&CKなどの大規模なハッキング攻撃を迅速に検出し、対応することができます。

高度監査ポリシーを活用して検出するイベントには次のようなものがあります。

1) ログインイベント

  • 複数のIPから同時にログイン試行が発生する場合
  • 異常なログイン試行回数が発生する場合
  • ログイン試行が頻繁に発生する場合

2) 管理者アカウントイベント

  • 管理者アカウント情報の変更試行が発生する場合
  • 管理者アカウントのログイン失敗試行が発生する場合
  • 管理者アカウントで異常な作業が発生する場合

3) ネットワークイベント

  • 知られていないIPアドレスからのアクセス試行が発生する場合
  • 複数のIPアドレスから同時にアクセス試行が発生する場合
  • 大量のデータ転送が発生する場合

これ以外にもさまざまなイベントを検出することができ、それに基づいてアラートや警告を提供し、管理者が迅速に対応できるようサポートします。
また、イベント発生履歴を分析して、今後の対応戦略を立てる際にも活用できます。

したがって、plura.ioで提供される高度監査ポリシーを使用すると、さまざまなイベントを検出して対応できるため、MITRE ATT&CKなどの大規模なハッキング攻撃に備えるために非常に有用です。

mitre_attack_advanced_audit_policy_with_chatgpt

参考サイト

  • [1] Windows イベント

ログ : https://learn.microsoft.com/en-us/windows/win32/wes/windows-event-log

Tags