#はじめに
ふとセキュリティについて何か学習を始めたいと思いました。オープンソースのプログラムを解読しながら、理解を深めていきたいと思います。
まずはオープンソースのOSSECについて学習します。まずはドキュメントを読むことから始めます。
https://www.ossec.net/docs/
##概要
OSSECは、オープンソースのホストベースの侵入検知システムであり、提供する機能は以下になります。
・ログ解析、整合性チェック
・Windowsレジストリ監視
・ルートキット検出
・リアルタイムアラート
・アクティブレスポンス
また、Linux、OpenBSD、FreeBSD、Mac OS X、Solaris、Windowsを含むほとんどのオペレーティングシステムで動作します。
##OSSECを始めるにあたって
OSSECは、システムを監視・制御するためのプラットフォームであり、以下の機能の側面をオープンソースのソリューションにまとめています。
・HIDS(ホストベース侵入検知)
・ログ監視
・SIM(セキュリティインシデント管理)
・SIEM(セキュリティ情報およびイベント管理)のすべての側面を、シンプル
##主なメリット
###コンプライアンス要件
OSSECは、PCIやHIPAAなど特定のコンプライアンス要件への対応を支援します。OSSECは、市販製品やカスタムアプリケーションのログファイルに埋め込まれたファイルシステムの不正な改ざんや悪意のある動作を検出し、警告することができます。
PCIについては以下のセクションをカバーしています。
・ファイル整合性監視
・ログ検査・監視
・ポリシー強制・チェック
###マルチプラットフォーム
OSSECは、Linux、Solaris、Windows、Mac OS Xなどの複数のプラットフォームで、きめ細かいアプリケーション/サーバー固有のポリシーを持つ包括的なホストベースの侵入検知システムを導入することができます。
###リアルタイムで設定可能なアラート
OSSECは、お客様がアラートを出したいインシデントを設定することができ、あらゆるシステムで通常のノイズよりも重要なインシデントの優先度を上げることに集中することができます。また、smtp、sms、syslogとの統合により、電子メール対応機器にアラートを送信することで、お客様はアラートを最優先することができます。また、攻撃を即座にブロックするアクティブレスポンスオプションも用意されています。
###現在のインフラとの統合
OSSECは、SIM/SEM(Security Incident Management/Security Events Management)製品などと統合し、イベントの集中レポートと相関関係を構築します。
###管理の一元化
OSSECは、複数のOSにまたがるポリシーを管理するために、シンプルな集中管理サーバーを提供します。また、サーバーごとにオーバーライドを定義することで、よりきめ細かなポリシーを設定することも可能です。
###エージェントおよびエージェントレス監視
OSSECは、システムやルーター、ファイアウォールなどのネットワークコンポーネントに対して、エージェントベースとエージェントレスの柔軟な監視を提供します。エージェントレス監視により、システムにインストールされるソフトウェアに制限のあるお客様(FDA認可のシステムやアプライアンスなど)が、セキュリティとコンプライアンスのニーズを満たすことができます。
##主な特徴
###ファイルの整合性チェック
ネットワークやコンピュータへの攻撃に共通するのは、システムに何らかの変更を加えるということです。ファイル整合性チェック(またはFIM - ファイル整合性監視)の目標は、これらの変更を検出し、それらが発生したときに警告することです。攻撃、従業員による誤用、管理者によるタイプミスなど、あらゆるファイル、ディレクトリ、レジストリの変更がアラートされます。
###ログ監視
ネットワーク上のすべてのOS、アプリケーション、デバイスは、何が起きているかを知るためにログ(イベント)を生成します。OSSECは、これらのログを収集、分析、相関させ、何か疑わしいこと(攻撃、誤用、エラーなど)が起こっていることを知らせます。
・あるアプリケーションがクライアントボックスにインストールされた
・あるいは、誰かがファイアウォールのルールを変更したとき
など、ログを監視することで、OSSECはあなたに通知することができます。
###ルートキットの検出
犯罪的なハッカーは自分の行動を隠そうとしますが、ルートキット検出を使えば、システムがルートキットに共通する方法で変更されたときに通知を受けることができます。
###アクティブレスポンス
アクティブレスポンスとは、指定されたアラートが発生した際に、OSSECが即座に対応することです。これにより、管理者が対応する前にインシデントが拡大するのを防ぐことができます。
#おわりに
ここまでざっと読んでみましたが、OSSECの勘所としては、ログの監視になるようです。学習していく要素としては、
・エージェント
・エージェントレス
・集中管理サーバ
・アラート通知
・アクティブレスポンス(即時対応)
になるでしょうか。この辺を機能毎にオープンソースを読み込んで理解していきたいと思います。
では、また。