【無料ツールで作るセキュアな環境(15)】〜snortのlog 1〜(執筆:office、みっきー) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

【無料ツールで作るセキュアな環境(15)】〜snortのlog 1〜(執筆:office、みっきー)

特集 特集

 前回までsnortを動作させるための設定方法を主に解説してきた。今回からは少し趣向をかえて、snortが出力するログを読む方法について解説しよう。
 snortを標準の状態で運用すると、/var/log/snortに以下のような形式で、ルールにマッチしたトラフィックを記録してゆく。

172.16.102.126 172.16.205.162 172.17.120.12 alert
172.21.118.69 172.25.47.89 172.29.12.115

 他にも、portscanのプリプロセッサを有効にしていれば、プリプロセッサで渡したパラメータで指定されたファイルにポートスキャンのログを保存する。

 もしもsnortを設置したホストに対して、外部よりスキャンや攻撃などが行われていれば、snortは/var/log/alertファイルにいくつかのアラートを記録する。

 たとえば下のアラートは、172.25.47.89が192.168.0.1のftpサーバにアクセスしようとしたが、不正な認証情報であったため、Login incorrectメッセージと共にアクセスが拒否されたことを示すものである。

[**] IDS364 - FTP - Bad Login [**]
02/28-23:54:20.725354 192.168.0.1:21 -> 172.25.47.89:2743
TCP TTL:64 TOS:0x10 ID:28152 IpLen:20 DgmLen:74 DF
***AP*** Seq: 0x78AB69A1 Ack: 0x77C687DF Win: 0x7D78 TcpLen: 32
TCP Options (3) => NOP NOP TS: 79087804 134385968

1行目はアラートのメッセージである。これはftpサーバ上で認証エラーが発生したことを検出したことを示している。続く2行目に該当するトラフィックを検出した時間、送信元、受信先のホストそれぞれのIPアドレスとサービス番号が記録されている。以降の行にはそのパケットのシーケンス番号やパケット長などの詳しい情報が記録されている。

 また、-d オプションを使用してsnortを起動しているのであれば、/var/log/snort/172.25.47.89/のように通信先のIPアドレスを名前としたディレクトリが作成され、その配下に下のようにアラートと共にアプリケーションレイヤのデータを記録したファイルが作成される。

[**] IDS364 - FTP - Bad Login [**]
02/28-23:54:20.725354 210.161.204.218:21 -> 211.252.31.66:2743
TCP TTL:64 TOS:0x10 ID:28152 IpLen:20 DgmLen:74 DF
***AP*** Seq: 0x78AB69A1 Ack: 0x77C687DF Win: 0x7D78 TcpLen: 32
TCP Options (3) => NOP NOP TS: 79087804 134385968
35 33 30 20 4C 6F 67 69 6E 20 69 6E 63 6F 72 72 530 Login incorr
65 63 74 2E 0D 0A ect...

 このファイルを参照することにより、そのアラートの元となったトラフィック内にどのようなデータが流れていたのかを知ることができる。

 通常の管理であれば、これらのalertファイルに目を通して、不信なアラートに注意するだけで良い。

 ところが困ったことに、alertファイルに記録されるアラートは全てが不正行為ではない。通信元に不正行為の意識がなくとも偶然ルールセットの条件にマッチしてしまい、アラートとして記録されてしまう場合も多々ある。いわゆる誤検知と呼ばれるものである。

office
office@ukky.net
http://www.office.ac/

みっきー
micky@office.ac
http://www.hawkeye.ac/micky/

詳しくはScan本誌をご覧下さい
http://www.vagabond.co.jp/c2/scan/

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×