【無料ツールで作るセキュアな環境(15)】〜snortのlog 1〜(執筆:office、みっきー) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.21(月)

【無料ツールで作るセキュアな環境(15)】〜snortのlog 1〜(執筆:office、みっきー)

特集 特集

 前回までsnortを動作させるための設定方法を主に解説してきた。今回からは少し趣向をかえて、snortが出力するログを読む方法について解説しよう。
 snortを標準の状態で運用すると、/var/log/snortに以下のような形式で、ルールにマッチしたトラフィックを記録してゆく。

172.16.102.126 172.16.205.162 172.17.120.12 alert
172.21.118.69 172.25.47.89 172.29.12.115

 他にも、portscanのプリプロセッサを有効にしていれば、プリプロセッサで渡したパラメータで指定されたファイルにポートスキャンのログを保存する。

 もしもsnortを設置したホストに対して、外部よりスキャンや攻撃などが行われていれば、snortは/var/log/alertファイルにいくつかのアラートを記録する。

 たとえば下のアラートは、172.25.47.89が192.168.0.1のftpサーバにアクセスしようとしたが、不正な認証情報であったため、Login incorrectメッセージと共にアクセスが拒否されたことを示すものである。

[**] IDS364 - FTP - Bad Login [**]
02/28-23:54:20.725354 192.168.0.1:21 -> 172.25.47.89:2743
TCP TTL:64 TOS:0x10 ID:28152 IpLen:20 DgmLen:74 DF
***AP*** Seq: 0x78AB69A1 Ack: 0x77C687DF Win: 0x7D78 TcpLen: 32
TCP Options (3) => NOP NOP TS: 79087804 134385968

1行目はアラートのメッセージである。これはftpサーバ上で認証エラーが発生したことを検出したことを示している。続く2行目に該当するトラフィックを検出した時間、送信元、受信先のホストそれぞれのIPアドレスとサービス番号が記録されている。以降の行にはそのパケットのシーケンス番号やパケット長などの詳しい情報が記録されている。

 また、-d オプションを使用してsnortを起動しているのであれば、/var/log/snort/172.25.47.89/のように通信先のIPアドレスを名前としたディレクトリが作成され、その配下に下のようにアラートと共にアプリケーションレイヤのデータを記録したファイルが作成される。

[**] IDS364 - FTP - Bad Login [**]
02/28-23:54:20.725354 210.161.204.218:21 -> 211.252.31.66:2743
TCP TTL:64 TOS:0x10 ID:28152 IpLen:20 DgmLen:74 DF
***AP*** Seq: 0x78AB69A1 Ack: 0x77C687DF Win: 0x7D78 TcpLen: 32
TCP Options (3) => NOP NOP TS: 79087804 134385968
35 33 30 20 4C 6F 67 69 6E 20 69 6E 63 6F 72 72 530 Login incorr
65 63 74 2E 0D 0A ect...

 このファイルを参照することにより、そのアラートの元となったトラフィック内にどのようなデータが流れていたのかを知ることができる。

 通常の管理であれば、これらのalertファイルに目を通して、不信なアラートに注意するだけで良い。

 ところが困ったことに、alertファイルに記録されるアラートは全てが不正行為ではない。通信元に不正行為の意識がなくとも偶然ルールセットの条件にマッチしてしまい、アラートとして記録されてしまう場合も多々ある。いわゆる誤検知と呼ばれるものである。

office
office@ukky.net
http://www.office.ac/

みっきー
micky@office.ac
http://www.hawkeye.ac/micky/

詳しくはScan本誌をご覧下さい
http://www.vagabond.co.jp/c2/scan/

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×