You are here:Home-Park John

About Park John

This author has not yet filled in any details.
So far Park John has created 117 blog entries.

Network Syslog Collectorの収集パスを変更する

1. 収集サーバー(親サーバ)に接続します。 2. 下のパスに移動します。 # cd /etc/rsyslog.d # vi 77-plura.conf 3. 77-plura.conf 設定ファイルの下部のパスを変更します。 $template DynaFile,”/var/log/plura/ceelog-%FROMHOST-IP%.log” 4. たとえば、/ var / log/ new/パスに変更してみましょう。 #パスの変更例) $template DynaFile,”/var/log/new/ceelog-%FROMHOST-IP%.log” 5. rsyslog 再起動をします。 # systemctl restart rsyslog 6.子サーバーを設定する 6-1. サーバー>サーバー管理>子サーバーの選択 6-2. 「サーバーの変更」を選択した後、システムログを収集パスを変更できます。 7. 変更されたパスにログが収集されることを確認します。 #例) cd /var/log/new/

By |2020-05-25T10:42:18+09:00May 22nd, 2020|Categories: Additional Manual|0 Comments

PowerShellを利用した攻撃

PowerShell システム管理と自動化などを目的に設計されたコマンドラインシェルおよびスクリプティング言語です。 Windows Vista以降の基本搭載されて攻撃者のツールとして多く使用されています。 1. 実行ポリシー (Execution Policy) 基本的にMicrosoftは、PowerShellスクリプトの実行を制限します。 しかし、攻撃者は、これを簡単に回避することができます。 回避 Flags -ExecutionPolicy/-EP Bypass -ExecutionPolicy/-EP Unrestricted -noprofile or -nop *Profile Bypass: 各セッションの開始時PowerShellを構成するために設定したProfileも無視できます。 2. ダウンロード PowerShell クラスとメソッドを使用して不正なファイルをダウンロードして実行します。 悪意のあるPowerShellスクリプトコマンドラインでよく使用されるコマンドです。 New-Object:.NET Frameworkのインスタンスを作成します。 System.Net.Webclient:リモートリソースとのデータ送受信に使用されます。 DownloadString:遠隔地からIEXが実行メモリバッファに内容をダウンロードします DownloadFile:遠隔地からローカルファイルにコンテンツをダウンロードします。 IEX/ Invoke-Expression:ローカルコンピュータでコマンドを実行します。 ICM/ Invoke-Command:ローカルおよびリモートコンピュータでコマンドを実行します。 3. エンコーディング - エンコーディングはPowerShell Commnadをユーザーと、特定のログから隠すことができる一つの方法です。 - Base64エンコードを使用した場合CommandLineの長さが長くなります。 - エンコードまたバイパスも、長文のコマンドを使用してインポートされたPowerShellなら疑ってみる必要があります。(>500 is odd) 4. DLL - 悪質な行動を検出するには、疑わしいcallsの組み合わせを見つける必要があります。 - PowerShell.exeまたはPowerShell_ISE.exe以外の実行ファイルで、これらのDllが呼び出されているかを監視します。 * sysmon

By |2020-05-19T10:47:28+09:00May 12th, 2020|Categories: カラム|0 Comments

AWSインスタンスにRoute53 DNS割当

Amazon EC2インスタンスIPアドレス設定 https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-instance-addressing.html   AWSインスタンスを生成するときに自動的に割り当てられているDNSより優先されるようにRoute53 DNSを割り当てることができます。 下記の手順に進みます。 1. 使用するDNSを割り当てて、新しいDHCPオプションセットの作成 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_DHCP_Options.html 2. 新しいVPCを作成したり、既存のVPCに、上記で作成したDHCPオプションセットを接続 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-dns.html 3. 上記の設定されたVPCをインスタンスに接続 https://aws.amazon.com/jp/premiumsupport/knowledge-center/connect-vpc/

By |2020-05-07T14:35:17+09:00May 7th, 2020|Categories: AWS|0 Comments

[Windows Server 2008] PowerShell 実行権限ポリシー

Windows Server2008の場合、以下のようなPowerShell実行権限ポリシーを持っています。 Restricted(制限され) : パワーシェルの実行権限ポリシーのデフォルトオプション(デフォルトでは適用されている)、コマンド一つずつ実行可能、ps1スクリプトファイルをロードして実行することができません AllSigned : 唯一の信頼されたディストリビュータによって署名されたスクリプトのみ実行できる RemoteSigned : ローカルコンピュータで本人が作成したスクリプトのみ実行可能、インターネットからダウンロードしたスクリプトは、信頼されたディストリビュータによって署名されたものだけを実行することができている Unrestricted(無制限) : 制限なしすべてのスクリプトを実行することができる ByPass : 何もブロックせずに、警告なしに実行できる Undefined : ポリシーの適用なし PowerShell 実行アクセス許可ポリシーのデフォルトのオプションは、「Restricted」です。 PLURA Agent インストール時に、レジストリ監査の設定のために以下のようなモードに設定変更をします。 Restricted → RemoteSigned 設定の変更を介してWindows Server2008環境でも、レジストリ監査の設定が可能です。 ※ 参考資料 : https://docs.microsoft.com/ja-jp/previous-versions/windows/powershell-scripting/hh847874(v=wps.640)?redirectedfrom=MSDN

By |2020-05-06T10:45:23+09:00May 6th, 2020|Categories: テック|0 Comments

PLURAのAmazon EC2 Auto Scaling環境のサポート

Amazon EC2 Auto Scaling とは? https://docs.aws.amazon.com/ja_jp/autoscaling/ec2/userguide/what-is-amazon-ec2-auto-scaling.html Amazon EC2 Auto Scaling 環境の構成 例) ソース : https://docs.aws.amazon.com 上記のような環境では、それぞれのインスタンスにPLURAエージェントをインストールして使用することができます。 インスタンスがグループから分離されたりStandby状態になっても、システムがシャットダウンされるのではなくAuto Scalingグループに関連付けられた弾力ロードバランサからインスタンスが削除されて、トラフィックのロードバランサでこれらのインスタンスにルーティングされないだけなのでPLURAエージェントは引き続きログを収集します。

By |2020-04-23T14:44:09+09:00April 23rd, 2020|Categories: AWS|0 Comments

Linuxアプリケーションのログ収集

PLURAサービスでは、Linuxアプリケーションログを収集することができます。 例)httpd errorログをPLURAで検出する 1. conf 設定する(rsyslogを使用) ※ 79-httpd.conf → conf ファイルを作成する # cd /etc/rsyslog.d/ # vi /etc/rsyslog.d/79-httpd.conf 2. conf ファイル作成 ※ File="ログのパス"、Tag="タグ"、Severity="重要度"、programname="プログラム名" ## vi /etc/rsyslog.d/79-httpd.conf input(type=”imfile” File=”/var/log/httpd/error_log” Tag=”error” Severity=”info” Facility=”local7″) if ($programname == ‘error‘) then { action(type=”omfile” File=”/var/log/messages” Template=”RSYSLOG_SyslogProtocol23Format”) action(type=”omfile” File=”/var/log/plura/ceelog-127.0.0.1.log” Template=”CEETemplate”) stop } 3. rsyslogデーモン再起動 # service rsyslog restart 4. PLURA検出確認 上記の内容を活用して、フィルタを登録すると、検出ログを確認することができます。(Syslogフィルタ登録)

By |2020-04-14T15:52:26+09:00April 14th, 2020|Categories: Additional Manual|0 Comments

リソースの監視

サーバーのリソース(CPU、Memory、HDD、Disk Active Time、Network Traffic、更新、日)の状態を監視することができます。 サーバーの管理のリソース収集ONに設定したサーバーを対象に、リソースのステータスを確認することができます。 エージェントがインストールされてサーバー対象(ウィンドウ:OSのインストールの基準は、Linux:root)であり、リソースの収集は、デフォルトONに設定されます。 ◆ 画面の設定 – リソースの監視の列は、画面の設定を介して公開するかどうかを設定することができます。 – リソースの監視ページの右歯車をクリックすると、画面の設定ページが公開されます。 – 監視対象は、CPU、Memory、HDD、Disk Active Time、Network Trafficです。 – データは、1分ごとに更新され、検索を介して必要な情報をすばやく確認することができます。 ※ Linuxの系列でDisk Active Timeの情報を確認したい場合は、sysstatのインストールが必要です。 – コマンドプロンプトウィンドウに、次のコマンドを入力してインストール – yum install -y sysstat または apt install -y sysstat ◆ リソース収集の設定 – リソースの収集は、[サーバーの管理]> [設定]タブで、管理することができます。 ◆ 日付順/古い順選択 – 日付順または古い順に選択して見ることができます。 ◆ ライン数を選択 – ページに表示される行数を選択することができます。   ◆ サーバーグループの選択 – サーバグループを選択することができます。 ◆ オペレーティングシステムの選択

By |2020-04-13T17:23:25+09:00April 13th, 2020|Categories: マニュアル|0 Comments

サーバーグループの管理

サーバーをグループごとに登録して管理することができます。 ◆ 日付順/古い順選択 – 日付順または古い順に選択して見ることができます。 ◆ ライン数を選択 – ページに表示される行数を選択することができます。   ◆ サーバーグループの登録 – サーバグループを追加するには、「サーバーグループの登録」をクリックした後、グループ名を入力した後、追加ボタンをクリックして追加したいサーバーを選択します。 – 登録完了ポップアップウィンドウが表示されたら[OK]ボタンをクリックすると、サーバーグループの登録が完了します。 ◆ サーバーグループの変更 – サーバグループ管理用テンプレートの右側にある設定(歯車のアイコン)をクリックすると、サーバーグループの変更ページに移動します。   – サーバグループ名の変更やリストにあるサーバーのリストを追加、移動、削除することができます。   ◆ サーバーグループの削除 – 必要に応じてサーバーグループの削除も可能です。サーバーリストの左側のチェックボックスにチェックを入れると表示される「削除」ボタンをクリックすると、そのサーバーグループが削除されます。 ◆登録したサーバーのリスト – 「登録されたサーバーの数」の情報をクリックすると、そのサーバーのリストが公開されます。  

By |2020-04-13T17:00:06+09:00April 13th, 2020|Categories: マニュアル|0 Comments

Windowsのレジストリ・ファイル偽造・変造検出

1. Windowsのレジストリ・ファイル偽造・変造検出 PLURAサービスは、レジストリ偽変造を検出することができます。 1-1. Windowsのレジストリ偽変造しようとする場合には、 1-2. システムフィルタ検出でレジストリ偽造・変造のログを確認することができます。 2. ファイル偽造・変造検出 PLURAサービスは、ファイル偽変造検出を行うことができます。 2-1. ファイルのアクセスして偽変造しようとする場合には、 2-2. システムフィルタ検出でファイル偽造・変造のログを確認することができます。

By |2020-04-13T15:31:53+09:00April 13th, 2020|Categories: Additional Manual|0 Comments

Linuxでタイムゾーンを変更すると、ログの時間が変更されますか?

FAQ 登録/アカウント管理 エージェント サービス 料金 その他 Linuxでタイムゾーンを変更すると、ログの時間が変更されますか? Linux上でPLURAエージェントをインストールして運営してシステムのタイムゾーンを変更すると、rsyslogを再起動してくれる収集ログの時間が変更の適用されます。 以下のように再起動することができます。 # service rsyslog restart  

By |2020-03-17T15:22:08+09:00March 17th, 2020|Categories: 微分類|0 Comments