最新版は、JPCERTコーディネーションセンター(JPCERT/CC)が高度サイバー攻撃への対処において監査を推奨するイベントログを収集できるほか、Microsoft公開の「Best Practices for Securing Active Directory」の内、重要度「高」のイベントログ監査にも対応している。
■JPCERT/CC推奨のイベントログ監査に対応
ManageEngineでは、早くからJPCERT/CCの解説書に則り、Active Directoryのログ監査/ID管理を適切に行えるソリューションを提案してきた。今回のリリースにより、従来は統合ログ管理ソフト「EventLog Analyzer」と併用して監査するように提唱していた次のイベントログを、全て「ADAudit Plus」のみで収集し、分かりやすい監査レポートとして出力したり、リアルタイムのアラート通知を設定したりすることが可能となった。
- イベントID:4698 スケジュールされたタスクの作成
- イベントID:1102 イベントログの消去
- イベントID:4624 ログインの成功
- イベントID:4625 ログインの失敗
- イベントID:4768 Kerberos 認証(TGT 要求)
- イベントID:4769 Kerberos 認証(ST 要求)
- イベントID:4776 NTLM 認証
- イベントID:4672 特権の割り当て
これにより、Active Directory監査担当者の作業負荷が大幅に軽減され、組織の更なるセキュリティレベル向上も期待できるとしている。
■Microsoft推奨のイベントログ監査にも有効
「ADAudit Plus」最新版「ビルド5050」は、Microsoftが公開している「Best Practices for Securing Active Directory」で監視が推奨されているイベントログの内、次の重要度「高」にも対応している。
- イベントID:4618 監視されるセキュリティイベントパターンが発生
- イベントID:4649 リプレイ攻撃を検出。構成が正しくないエラーのための無害な誤検知がある
- イベントID:4719 システム監査ポリシーが変更された
- イベントID:4765 SID履歴がアカウントに追加された
- イベントID:4766 SIDの履歴をアカウントに追加できなかった
- イベントID:4794 ディレクトリサービス復元モードの設定が試行された
- イベントID:4897 役割の分離が有効になっている
- イベントID:4964 特別なグループが新しいログオンに割り当てられている
- イベントID:5124 セキュリティの設定はOCSPレスポンダーサービスに更新された
JPCERT/CCの解説書に加え、上記で推奨されているイベントログを監査したい場合にも「ADAudit Plus」は有用だという。
「ADAudit Plus」は、Active Directoryのログ監視および監査レポートの作成に特化したWebベースのソフトウェア。Active Directoryが出力したログを視覚的に見やすいレポート形式で表示し、ログの分析/解析にかかる工数を削減するという。監査に必要とされているレポート(200種類以上)を瞬時に作成することができるほか、アラートを設定することでセキュリティ・インシデントの即時検知にも役立つ。
