Palo Altoのファイアウォールを使用している企業で脆弱性が発生した場合、どのログを確認し、どの順番で調査を行うべきかを解説します。このガイドでは、Threatログ、Trafficログ、Proxyログの活用法について説明します。
1. 脆弱性発生時に確認すべきログの種類
脆弱性が発生した際に確認するべきログは主に3種類です。
- Threatログ(vulnerabilityアラート): 攻撃・脆弱性検知の発生点。src/dstやアプリ、シグネチャ名を確認。
- Trafficログ: 実際にどんな通信だったか。URLやポート、アプリで通信内容を確認。
- URL/データフィルタログ or Proxyログ: HTTPS復号が可能な環境なら、SNIやURLを確認して通信の中身を把握。
最初にThreatログを確認し、その後Trafficログで詳細なセッション情報を調べるという順番です。
2. Threatログから得る情報(起点)
Threatログでは脆弱性に関連するシグネチャ名や通信の方向、使用されたアプリケーションを確認します。以下は主に見るべき項目です。
- Threat Name: 脆弱性のシグネチャ名(例:Apache HTTP Server Path Traversal)。CVEs名が含まれていることが多い。
- Source / Destination: 通信元・通信先IP。「社内 → 外部」か「外部 → 内部」を確認。
- Action: alert / block。blockなら防御済み、alertなら通過している。
- Session ID: Trafficログを追うためのキー。
Threatログをもとに、次にTrafficログでセッションの詳細を確認します。
3. Trafficログで「どんな通信だったか」を見る
Trafficログでは、実際にどのような通信があったのかを確認します。重要な確認項目は以下です。
- Application: 使用されたアプリケーション(web-browsing / ssl / ssh / ftpなど)。
- URL / SNI / Server Name: 復号している場合、具体的なドメインやパスが表示されます。
- Bytes sent/received: 実際に通信が行われたか(スキャンか実行通信か)。
- User: User-ID機能を使っている場合、ADユーザー名が表示されます。
これにより、アラートがどのような通信中に発生したのかを把握できます。
4. 宛先IPの深掘り(原因の特定)
Threatログで得た情報を基に、宛先IP(dst IP)を深掘りし、どのドメイン・サーバが攻撃対象であったのかを調査します。具体的な手法としては以下が考えられます。
- DNSリバースルックアップ: nslookupで外部サイトの場合、どのドメインか、社内IPならどのサーバか。
- アプリ/ポートで判断: 例えば、Port 80/443はWeb関連の通信。
- EDRでプロセスの特定: srcが社内PCの場合、どのプロセスが通信を出したかを確認。
これにより、通信経路を特定し、必要な対応策を講じることができます。
5. 誤検知か実害かの見分け方
最終的に、誤検知か実際の攻撃かを判別します。以下のような状況で判断を行います。
- Action = block、同時刻の通信が完了していない場合: 防御済みと見なして監視継続。
- Action = alert、通信成功、外部サイト経由の場合: ブラウザ通信由来の可能性あり。確認・EDR調査。
- srcが管理者端末の場合: 誤検知の可能性あり。担当者にヒアリング。
これにより、次の対応方法を判断し、迅速に行動できます。
6. まとめ
脆弱性アラートが発生した場合、最初にThreatログで情報を確認し、その後Trafficログで詳細を追い、最後に原因を特定するための深掘りを行います。最終的には誤検知か実際の攻撃かを見分け、適切な対策を講じることが重要です。
コメント