You are here:-テック

[AIX]ファイルの監査(Audit Log)設定でPLURAでのフィルタ検出を確認する

1. AIXでRemote Loggingを設定する PLURA右上のInstall Agentsページ上部のメニューからOS別の選択 UNIX > AIXタブ   2. ファイル監査を設定する Audit > config 設定値の変更 – audit service 終了 # audit off # audit shutdown – config 変更 # vi /etc/security/audit/config // 値の変更 set binmode = off streammode = on // 入力値の追加(class section, user section) class: system = USER_Remove,USER_Create,GROUP_Create,GROUP_Remove init = User_Login … users: root =

By |2020-03-17T13:57:28+00:00March 17th, 2020|Categories: テック|0 Comments

[フィルタ]パブリックキーログイン成功_ユーザー登録方法

オペレーティングシステムグループ:linux オペレーティングシステム:ubuntu or centos(該当するオペレーティングシステムを選択) チャンネル:Syslog フィルタ名:パブリックキーログイン成功 フィルタの説明:パブリックキーログイン成功時に発生されるログです。 フィルターリスク:高 フィルタ動作時間:24時間 フィルタの状態:ON 基本プロパティ - 情報の入力> msg>直接入力:Accepted publickey for>を含む 内部IPアドレスを除く処理に必要な場合、登録情報 - 情報の入力> msg>直接入力:Accepted publickey for>を含む - 情報の入力> msg>オプション:default>を除く * default:サーバーグループでは、defaultに登録されているIPアドレスの検出なし処理

By |2020-03-09T10:27:09+00:00March 9th, 2020|Categories: テック|0 Comments

Webhook設定してTelegramでPLURAの通知を受け表示

テレグラムメッセンジャーを利用してウェプフク受信を設定すると、PLURA検出通知をテレグラムに受け取ることができます。 1. Botを作成 BotFather 検索 /newbot 入力 Bot 名前登録 Bot 識別キーの登録(_botで終了すること) Bot 作成後、出力ウィンドウt.me/Bot識別キーをクリックして開始(start)を押して有効に 2. Botをグループチャットに招待 グループを作成し作成したBot名前で検索して登録 Botの作成時にTokenを利用して、現在のグループチャットのid情報を確認 https://api.telegram.org/bot{Toekn}/getUpdates 3. 確認情報をPLURA通知設定に登録 例) https://api.telegram.org/bot{Toekn}/sendmessage?parse_mode=Markdown&chat_id={id}

By |2019-11-14T17:02:46+00:00November 14th, 2019|Categories: テック|0 Comments

Wail2banによるウィンドウのファイアウォール登録検出方法

Wail2banを利用してRDPブルートフォース攻撃に対するセキュリティ設定をした場合には、 Wail2banによってウィンドウのファイアウォールにブロック登録されている動作をPLURAで検出することができます。 Wail2banとは? https://developer.ibm.com/kr/cloud/softlayer-bluemix-infra/security/2017/08/31/rdp-security-script/   1.フィルタ登録例 PLURA Webからフィルタ登録で設定する方法 フィルタ>フィルタの管理>フィルタ登録を選択 サーバーグループの選択>オペレーティングシステムwindows選択> Securityチャンネルを選択>イベントタイプを選択 イベントタイプでファイアウォールの例外リストの変更ルールの追加(4946)を選択 図のように選択した後「データ値」にwail2ban blockを入れ下部の「登録」ボタンをクリックする   2. ファイアウォールの登録検出例 Wail2banによってウィンドウのファイアウォールにブロック登録がされると、以下のように検出されます。

By |2019-10-29T11:01:58+00:00October 29th, 2019|Categories: テック|0 Comments

Java1.6環境でPLURA Agentはどのようにインストールか?

FAQ 登録/アカウント管理 インストール、更新 サービス 料金 その他 PLURA AgentをCentOSにインストールすると、エラーが発生します。 Java1.6環境でPLURA Agentのインストール方法は、次のとおりです。 1. CentOS curl https://repo.plura.io/v4/agent/plura_install_java_rpm_jdk6.sh|bash 2. Ubuntu curl https://repo.plura.io/v4/agent/plura_install_java_deb_jdk6.sh|bash 以降のライセンス登録方法は、 PLURA Install Agentsページをご確認ください。

By |2019-10-29T11:08:23+00:00October 17th, 2019|Categories: テック|0 Comments

一部のLinuxシステムのブートの時点で一時的にdateが変更される現象

ntpdateなどの時刻同期コマンドを使用しているいくつかのLinux環境では、システム再起動をすると、起動時に一時的にシステムの時間が変更されたが、再同期することができます。 時間が変更された時点のSyslog例) { “timegenerated”: “2019-09-02T15:40:57.645025+09:00”, “programname”: “systemd”, “hostname”: “localhost”, “syslogtag”: “systemd[1]:”, “pri”: “30”, “pri-text”: “daemon.info”, “syslogfacility”: “3”, “syslogfacility-text”: “daemon”, “syslogseverity”: “6”, “syslogseverity-text”: “info”, “msg”: “Time has been changed” } Sep 3 10:39:16 harry audispd: node=harry type=USER_ROLE_CHANGE msg=audit(1567474756.661:112): pid=1529 uid=0 auid=1000 ses=1 msg=’op=su acct=”root” exe=”/bin/su” hostname=localhost addr=::1 terminal=/dev/pts/0 res=success’ Sep 3 10:30:10 harry systemd-timesyncd[589]: Synchronized to

By |2019-10-29T11:21:09+00:00October 17th, 2019|Categories: テック|0 Comments

.gitディレクトリの脆弱性

.gitディレクトリ:Gitのデータを格納して管理するディレクトリです。このディレクトリをコピーするだけで、ストアがバックアップされます。 世界中に2億3千万以上のWebドメインを検索した結果39万のWebページで.git公開ディレクトリが見つかりました。これは機密情報が漏洩することができる心配な状況です。 多くのWeb開発者は、オープンソースの開発ツールGitを使用してページを作成します。 プロジェクトの標準的な情報ストア.gitディレクトリを公にアクセス可能なサイトに置かんが、多くの場合、このようなことが発生します。また、彼らはしばしば不注意に重要な情報がそこに許可します。 これは深刻な問題です。なぜなら、Webサイトの構造に関する多くの情報がある現在および過去のファイルを取得することができ、DBパスワード、API keys、開発IDE設定など非常に機密データを得ることができるからです。 Gitリポジトリはよく知られている構造を持っているので、簡単にそれぞれのファイルをダウンロードして、ストレージの各objects / packsへの参照を分析することができます。 脆弱かどうか確認 web-site / .git / 正しく設定すると、動作しないようにします。 対応策 Gitを使用したり、ライブサーバーでGitを使用している場合、.gitディレクトリが索引付けされず、ディレクトリ、サブディレクトリ、およびすべてのファイルがサーバーの権限ルールを使用してアクセスすることができないことを確認してください。 また、Gitに追加されたファイルに機密データを含めないでください。全世界で見られるようにGithubやBitbucketのような場所で情報をプッシュすると悪夢が起こることがあります。 また、.gitignoreファイルを使用して機密ファイルを適切に無視して、誤って追加しないようにする必要があります。 * gitignore:ProjectにしたくないBackup FileやLog File、あるいはコンパイルされたファイルをGitから除外させることができる設定File 参照 https://threatpost.com/open-git-directories-leave-390k-websites-vulnerable/137299/ https://blog.netspi.com/dumping-git-data-from-misconfigured-web-servers/ https://git-scm.com/book/ko/v2/Git%EC%9D%98-%EB%82%B4%EB%B6%80-Plumbing-%EB%AA%85%EB%A0%B9%EA%B3%BC-Porcelain-%EB%AA%85%EB%A0%B9

By |2019-10-09T10:02:32+00:00October 9th, 2019|Categories: テック|0 Comments

ウィルスソフトウェアのアプデート終了の検出方法

– PLURAサービスはウィルスソフトウェアのアプデート終了を検出することができます。   ウィルスソフトウェアのアプデート終了の検出方法 1. Windows Defenderの終了検出 Windows Defender の終了は、基本的に検出されます。   2. その他、ウィルスソフトウェアの終了検出 www.plura.io Web上でのフィルタの登録に設定することができます。 フィルタ>フィルタの管理>フィルタ登録をクリック   サーバーグループの選択>オペレーティングシステムwindows選択> Securityチャンネルを選択>詳細追跡分類を選択>イベントタイプを選択   イベントタイプでプロセスの終了(4689)の選択   下の画像のように選択した後「データ値」に使用するワクチンの必要なプロセス名を入れて下の "登録"ボタンをクリックする  

By |2018-09-27T16:11:59+00:00August 23rd, 2018|Categories: テック|0 Comments

Hosts偽造・変造の検出方法

PLURAサービスはHosts偽変造を検出することができます。   Hosts偽変造の検出する方法 1. Linuxで検出する方法 まず、Auditlogを設置いただきます。(ショートカット) インストールができたら、次のコマンドを実行してください。 auditctl -w /etc/hosts -p wa -k HostsForgery Hostsに変調が行われると、以下のようにリアルタイムで検出します。 2.WINDOWSで検出する方法 まずそのファイルに以下のように監査設定をしていただく必要があります。 C:\ Windows \ System32\ drivers\ etc\ hosts(右クリック)> [プロパティ]> [セキュリティ]> [詳細]> [監査>追加>セキュリティプリンシパル>管理者アカウント(administrator)>詳細権限の表示>ファイルの作成/データの書き込み>チェック> OK>適用 Hostsに変調が行われると、以下のようにリアルタイムで検出します。 3. WINDOWS_SYSMONで検出する方法 まず、Sysmonを設置いただきます。(ショートカット) Hostsに変調が行われると、以下のようにリアルタイムで検出します。(監査設定不要)  

By |2018-09-27T16:09:54+00:00August 23rd, 2018|Categories: テック|0 Comments

Web site偽造・変造を検出する方法

- PLURAサービスは、Web site偽変造を検出することができます。   Web site変調検出方法 1. Linuxで検出する方法 まず、Auditlogを設置いただきます。(ショートカット) インストールができたら、次のコマンドを実行してください。 # auditctl-w[Webページのパスを入力する]-p wa-k WebForgery (例)#auditctl-w/var/www/html/wordpress/index.php-p wa-k WebForgery Web siteに変調が行われると、以下のようにリアルタイムで検出します。 2.ウィンドウで検出する方法 まずそのファイルに以下のように監査設定をしていただく必要があります。 そのWebページファイル(右クリック)> [プロパティ]> [セキュリティ]> [詳細]> [監査>追加>セキュリティプリンシパル>管理者アカウント(administrator)>詳細権限の表示>削除>チェック> OK>適用 - 監査を設定した後、フィルタを登録する必要があります。 [フィルタ登録] サーバーグループ そのサーバーが登録されているグループ(指定しなかった場合DEFAULT選択) オペレーティングシステム windows チャンネル Security 分類 オブジェクト・アクセス イベントタイプ 4663 サーバーのリスト フィルタリングしたいサーバーを選択(サーバのリスト全体を推奨) フィルタ名 Web site 偽造・変造 フィルタレベル 高 データタイプの選択 ObjectName データ値 そのWebページのパスを入力する 例)*C:\inetpub\wwwroot\wordpress\index.php* データタイプの選択 AccessList

By |2018-08-29T14:00:14+00:00August 23rd, 2018|Categories: テック|0 Comments