ハニーレポートのブログをnoteのマガジンに移します。
noteではデータのダウンロードやコードもわかりやすく記載できるので、
コンテンツを色々増やせていければと思います。
ログ分析をするための事前準備についてまとめてみた
ログ分析をするための事前準備について簡単にまとめてみました。
前提
一般的に企業でシステムやWebアプリケーション等を扱う上でログ管理を行う上でのログ分析の事前準備をするケースです。
事前準備
-
正確な時刻を設定する
タイムゾーンや複数のシステムを管理している場合、それぞれ時間がずれていては正確な情報を得られません。
ゆえに証跡として使えなくもなります。
NTPサーバを導入して個々のサーバの時刻を合わせる必要があります。
-
X-Forwarded-Forヘッダフィールドの利用検討
X-Forwarded-Forヘッダフィールドを用いると付け替え前の送信元IPアドレスを把握することが可能になります。
そのため、ロードバランサなどがある場合は送信元IPアドレスがロードバランスになってしまうことを防げることができます。
しかし、なりすましのリスクがあるため利用には注意が必要です。
-
統合ログ管理サーバの導入
複数サーバがあるとそれぞれ管理することが難しくなります。
そこで統合ログ管理サーバを用いることで、複数サーバの管理を効率化することが可能です。
主に機能は3種類です。
1つ目が各サーバのログ収集機能です。これにより一元管理が可能になります。2つ目は追記型記憶装置とWORM媒体の利用、媒体の台帳管理です。WORMとはWrite Once Read Manyと上書きができないように改ざん対策を取ることです。データの完全性を保ちます。3つ目は安全な保管機能です。アクセス制限、暗号化、改ざん検知などセキュリティ機能です。
他にも最近では、SIEMの導入など規模や要件などで可能なレベルが変わってきますが、基本として上記を押さえておくとまずは良いでしょう。
月間ハニーレポート2024年3月号
ハニーレポート2024年3月のアクセス記録を公開します。
デイリーアクセス
|
ymd |
count |
|
2024-02-29 |
44 |
|
2024-03-01 |
51 |
|
2024-03-02 |
942 |
|
2024-03-03 |
190 |
|
2024-03-04 |
211 |
|
2024-03-05 |
192 |
|
2024-03-06 |
67 |
|
2024-03-07 |
56 |
|
2024-03-08 |
83 |
|
2024-03-09 |
101 |
|
2024-03-10 |
104 |
|
2024-03-11 |
115 |
|
2024-03-12 |
447 |
|
2024-03-13 |
969 |
|
2024-03-14 |
115 |
|
2024-03-15 |
258 |
|
2024-03-16 |
193 |
|
2024-03-17 |
49 |
|
2024-03-18 |
422 |
|
2024-03-19 |
976 |
|
2024-03-20 |
234 |
|
2024-03-21 |
1644 |
|
2024-03-22 |
1070 |
|
2024-03-23 |
104 |
|
2024-03-24 |
69 |
|
2024-03-25 |
60 |
|
2024-03-26 |
84 |
|
2024-03-27 |
62 |
|
2024-03-28 |
103 |
|
2024-03-29 |
80 |
|
2024-03-30 |
89 |
|
2024-03-31 |
306 |
IPアドレス別
|
from_ip_address |
count |
|
151.106.27.60 |
1420 |
|
51.15.20.42 |
710 |
|
101.53.133.44 |
707 |
|
190.2.146.140 |
707 |
|
135.181.34.184 |
707 |
|
146.19.24.28 |
307 |
|
128.199.137.235 |
225 |
|
195.140.227.163 |
220 |
|
193.233.75.165 |
160 |
|
1.25.253.202 |
154 |
ステータスコード別
|
status_code |
count |
|
200 |
8804 |
|
401 |
686 |
HTTPメソッド別
|
res |
count |
|
GET |
8725 |
|
POST |
684 |
|
CONNECT |
63 |
|
HEAD |
15 |
|
OPTIONS |
3 |
国別アクセス
|
country |
count |
|
France |
2173 |
|
United States |
1407 |
|
Netherlands |
973 |
|
India |
913 |
|
Finland |
709 |
|
Japan |
649 |
|
Russia |
533 |
|
Poland |
315 |
|
China |
301 |
|
Singapore |
249 |
|
Germany |
225 |
|
Ukraine |
223 |
|
Indonesia |
130 |
|
United Kingdom |
118 |
|
Bulgaria |
108 |
|
Seychelles |
58 |
|
Portugal |
57 |
|
Australia |
50 |
|
Vietnam |
43 |
|
Romania |
41 |
|
Belgium |
37 |
|
Canada |
33 |
|
Hong Kong |
17 |
|
Lithuania |
16 |
|
Iran |
15 |
|
Brazil |
14 |
|
Switzerland |
11 |
|
Malaysia |
7 |
|
Thailand |
7 |
|
South Korea |
5 |
|
Ireland |
5 |
|
Spain |
4 |
|
Bangladesh |
4 |
|
Nigeria |
4 |
|
Morocco |
4 |
|
Mongolia |
3 |
|
Taiwan |
3 |
|
Cambodia |
3 |
|
Turkey |
2 |
|
Kenya |
2 |
|
Czechia |
2 |
|
Philippines |
2 |
|
1 |
|
|
Albania |
1 |
|
Moldova |
1 |
|
Azerbaijan |
1 |
|
Lebanon |
1 |
|
Chile |
1 |
|
Curaçao |
1 |
|
Italy |
1 |
|
Colombia |
1 |
|
Bosnia and Herzegovina |
1 |
|
Austria |
1 |
|
Uruguay |
1 |
|
Norway |
1 |
|
Cameroon |
1 |
|
French Southern Territories |
1 |
参考文献
![サイバー攻撃の足跡を分析するハニーポット観察記録【無料試読版】 [ハニーポット観察記録]](https://m.media-amazon.com/images/I/51up2YwnX1L._SL500_.jpg "サイバー攻撃の足跡を分析するハニーポット観察記録【無料試読版】 [ハニーポット観察記録]")
CSRFについてまとめてみた
ウェブサイトに仕掛けられる攻撃手法で代表的なCSRF(クロスサイトリクエストフォージェリ)についてまとめます。
CSRFとは?
攻撃者が用意した悪意のあるサイトにアクセスしてしまうことでスクリプト付きのWebページをダウンロードしてしまい、スクリプトが自動実行され、他のサイトにアクションを起こされる攻撃です。
よく他のサイトにアクションというのは、SNSやAmazonなどのECサイトの不正にログインをされて、アカウントを乗っ取る行為が多いです。
攻撃名を訳すと
CrossSite:サイトをまたいだ
Request:要求の
Forgeries:偽装
悪意のあるサイトからユーザの利用しているSNSなどにサイトをまたいで、本人を偽ったログインの要求をして不正アクセスをする手法であるためこのような名前がつけられています。
攻撃手順
- 攻撃者がWebサイトに罠を仕掛ける
- ユーザが罠を仕掛けられたサイトを見る(SNSログイン済みの状態)
- ユーザがリンク入りページを表示し、リンクをクリック
- WebサイトからSNSのサイトに移り、ユーザ要求を偽って悪意のあるリクエストを送る
- 意図しない操作をされてしまう。
対策
開発の対策
リファラの検証
CAPTHAの利用
リファラの検証をする
CookieにSameSite属性を指定する
ユーザの対策
不用意にログインしたままにしない。
怪しいサイトにはいかない。
月間ハニーレポート2024年2月号
ハニーレポート2024年2月のアクセス記録を公開します。
デイリーアクセス
|
ymd |
count |
|
2024-01-31 |
25 |
|
2024-02-01 |
192 |
|
2024-02-02 |
283 |
|
2024-02-03 |
120 |
|
2024-02-04 |
177 |
|
2024-02-05 |
271 |
|
2024-02-06 |
86 |
|
2024-02-07 |
35 |
|
2024-02-08 |
49 |
|
2024-02-09 |
46 |
|
2024-02-10 |
212 |
|
2024-02-11 |
71 |
|
2024-02-12 |
274 |
|
2024-02-13 |
69 |
|
2024-02-14 |
105 |
|
2024-02-15 |
113 |
|
2024-02-16 |
109 |
|
2024-02-17 |
147 |
|
2024-02-18 |
124 |
|
2024-02-19 |
98 |
|
2024-02-20 |
109 |
|
2024-02-21 |
58 |
|
2024-02-22 |
98 |
|
2024-02-23 |
173 |
|
2024-02-24 |
215 |
|
2024-02-25 |
255 |
|
2024-02-26 |
80 |
|
2024-02-27 |
827 |
|
2024-02-28 |
52 |
|
2024-02-29 |
12 |
IPアドレス別
|
from_ip_address |
count |
|
209.126.80.243 |
707 |
|
154.27.68.195 |
441 |
|
138.68.224.69 |
222 |
|
51.15.17.105 |
212 |
|
192.30.243.94 |
160 |
|
219.134.218.250 |
131 |
|
41.111.188.36 |
128 |
|
188.78.242.233 |
128 |
|
179.43.168.99 |
121 |
|
146.19.24.28 |
116 |
ステータスコード別
|
status_code |
count |
|
200 |
3662 |
|
401 |
823 |
HTTPメソッド別
|
res |
count |
|
GET |
4105 |
|
POST |
327 |
|
CONNECT |
24 |
|
HEAD |
23 |
|
OPTIONS |
4 |
|
Ix¿óÂ3RÃ`°Ãó |
1 |
|
AéÃÂaGõé`°Âà |
1 |
国別アクセス
|
country |
count |
|
United States |
1938 |
|
Netherlands |
299 |
|
France |
292 |
|
China |
269 |
|
Russia |
213 |
|
Poland |
192 |
|
Switzerland |
150 |
|
Spain |
131 |
|
Algeria |
128 |
|
Germany |
121 |
参考文献
