23：イベントの発生を電子メールで通知するには？

今回のテーマ

イベントの発生を電子メールで通知するには？

Question: やりたいこと

会社でDeviceLockを運用しており、社内のセキュリティ担当である私が、日々発生する各クライアントの監査ログを参照して、セキュリティインシデントがないかチェックしています。

ただ、私がいつも社内にいる訳ではないので、社外からDeviceLockのログを参照する方法があれば教えてください。

なお、専用の管理サーバーは立てておらず、ログは各クライアントのローカルドライブに保存されています。

Answer: こうすればできる

社外の任意の場所から社内のクライアントPCに接続してDeviceLockのログをリアルタイムに参照するには、インターネットVPNなどを構築して、場所にとらわれない社内ネットワーク網を構築する必要があります。

こうした環境の構築や運用が難しい場合は、「アラート」機能を設定して、発生したイベントの内容を電子メールに載せて送信することができます。

アラート条件が発生したときに、あらかじめ指定された電子メールアドレスに、自動的に通知メールが送信されます。

Step: 設定方法

「アラート」機能でイベントを電子メール送信するには、電子メール(SMTP)および配信リトライパラメーター設定と、デバイス・ポート個別設定が必要です。

電子メール(SMTP)設定

最初に、電子メールの送信に利用するSMTP(※)の設定をします。SMTPを設定するには、SMTP機能を提供する何らかのSMTPサーバーとメールアカウント、認証情報等が必要です。

SMTP ・・ Simple Mail Transfer Protocol の略。電子メール(eメール)を送信(伝送)するための通信手順(プロトコル)。

１．DeviceLock管理コンソールを起動して、設定したいクライアントPCのDeviceLock Serviceに接続します。

２．左ペインで[DeviceLock Service]-[Serviceオプション]-[アラート]と展開すると、右ペインに、設定項目がリストされます。

SMTPの他に、SNMP(Simple Network Management Protocol)やSyslog(ログをIPネットワーク上で転送するための規格)による、監査ログ配信にも対応していますが、本資料ではSMTPについて説明します。

３．右ペインで[SMTP]をダブルクリックして設定画面を表示します。

４．必要事項を入力します。

接続先：SMTPホスト/ポート
　　SMTPサーバーのホスト名(またはIPアドレス)および、ポート番号を指定します。ポート番号の既定値は「25」です。
セキュリティ：サーバーは認証が必要
　　SMTPサーバーに接続するために基本認証が必要な場合に設定します。
セキュリティ：ユーザー名/パスワード
　　SMTPサーバーの基本認証に使用するユーザー名およびパスワードを指定します。
オプション：送信者アドレス/宛先アドレス
　　電子メールを送信する際の、送信者および宛先のアドレスを指定します。
　　複数の宛先アドレスを指定するには、コンマ(,)またはセミコロン(;)で区切ります。

しきい値
　アラートを生成する際に「イベントの統合」に使用する時間間隔(時間、分、秒単位)を指定します。
　以下の条件がすべて該当する場合に、しきい値の時間内に発生した複数の類似イベントが統合され、
　1つのアラート内に要約が生成されます。

　　・イベントが同じタイプである。(成功、失敗、または情報)
　　・イベントが同じデバイスタイプ/プロトコルに関連付けられている。
　　・イベントが同じユーザーに関連付けられている。
　　・イベントが同じPIDに関連付けられている。既定値は10分です。

５．必要に応じて、アラートメッセージのテンプレートを編集します。

テンプレートを編集するには、[メッセージの編集]ボタンをクリックします。

メッセージ題名
　　アラートメールのタイトルを指定します。
メッセージ本文
　　アラートメールの本文を指定します。

アラートメッセージの本文では、以下の定義済みマクロを使用できます。
これらのマクロは、メッセージ生成時に実際の値と置き換えられます。

マクロ	概要
%EVENT_TYPE%	イベントのクラスを挿入します。許可されたアクセスに対しては「成功」、拒否されたアクセス対しては「失敗」、管理のイベントに対しては「情報」です。
%COMP_NAME%	イベントの受信元のコンピューター名を挿入します。
%COMP_IP%	コンピューターに関連付けられているすべてのネットワークアドレス (IPアドレス)がコンマ区切りされたリストを挿入します。
%DATE_TIME%	このイベントがDeviceLock Serviceで受信された日時を挿入します。日時は、クライアントコンピューターの地域と言語の設定に基づいて表示されます。
%SOURCE%	関わっているデバイスまたはプロトコルのタイプを挿入します。
%ACTION%	ユーザーの動作タイプを挿入します。
%NAME%	オブジェクトの名前 (ファイル、USBデバイス、など) を挿入します。
%INFO%	アクセスフラグ、デバイス名など、イベントに関するその他のデバイス固有の情報を挿入します。
%REASON%	イベントの原因を挿入します。
%USER_NAME%	このイベントに関連付けられたユーザーの名前を挿入します。
%USER_SID%	このイベントに関連付けられたユーザーのセキュリティ識別子 (SID) を挿入します。
%PROC_NAME%	このイベントに関連付けられたプロセスの名前を挿入します。
%PROC_ID%	このイベントに関連付けられたプロセスのIDを挿入します。
%EVENT_ID%	個々のイベントタイプを識別する番号を挿入します。
%SUMMARY_TABLE%	テーブルの詳細や個々のイベントの視覚化を挿入します。

６．[テスト]ボタンをクリックすると、指定した宛先にテストメールが送信されます。

テストメールは即時に送信されますので、10分ほど経過しても届かない場合はSMTP設定を確認してください。

※サンプル

電子メール(配信リトライパラメーター)設定

次に、電子メールの送信における配信リトライ設定をします。

DeviceLock管理コンソールを起動して、設定したいクライアントPCのDeviceLock Serviceに接続します。
左ペインで[DeviceLock Service]-[Serviceオプション]-[アラート]と展開すると、右ペインに、設定項目がリストされます。

右ペインで[配信リトライパラメーター]をダブルクリックして設定画面を表示し、必要事項を設定します。

配信リトライ数
1回目の配信が失敗した場合に、DeviceLockがアラートの配信を試行する最大回数を指定します。1回目の配信が失敗すると、アラートはキューに保留され、配信が1回行われたことを示すマークが付けられます。その後、キュー内のアラートが配信され失敗するたびに、試行回数が増加します。このパラメーターは、0～999の値が設定されている必要があり、デフォルト値は3(回)です。
配信リトライ間隔
前の配信が失敗した場合に、DeviceLockがアラートの次の配信を試行するまでに待つ秒数を指定します。このパラメーターは、10～3600の値が設定されている必要があり、デフォルト値は600(秒)です。
キューに保持
未配信アラートが削除される前に配信用キューに保持される時間を定義します。同一のキューがすべての配信チャネル(SNMP、SMTP、Syslog)に　使用されます。このパラメーターは、1～999の値が設定されている必要があり、デフォルト値は1(時間)です。

デバイス・ポートのアラート設定

ここでは例として「着脱可能(リムーバブル)デバイスに許可されていない書き込みを行なった場合に、アラートを配信する」という設定をします。

DeviceLock管理コンソールを起動して、設定したいクライアントPCのDeviceLock Serviceに接続します。
左ペインで[DeviceLock Service]-[デバイス]-[監査／シャドウイング／アラート]と展開すると、右ペインに、対応デバイス・ポートがリストされます。

右ペインで[着脱可能デバイス]をダブルクリックして設定画面を表示し、必要事項を設定します。

上図①：「どのような結果に対してアラートを発信するか」を指定します。
ここでは「許可されていない書き込みを行なって拒否された場合にアラートを配信する」ため、「拒否をアラート」をチェックします。
上図②：[ユーザー]欄に、「どのユーザーの行為に対してアラートを配信するか」を指定します。
ここでは「全てのユーザーの行為に対してアラートを配信する」ため、「Everyone」を指定します。
上図③：[ユーザーの権利]欄に、「ユーザーのどの行為に対してアラートを配信するか」を指定します。
ここでは「書き込み行為に対してアラートを配信する」ため、「アラート – 書込み」の「許可」(「配信する」の意)をチェックします。

デバイスアクセス制御設定

次に、リムーバブルデバイス(着脱可能デバイス)に対するアクセスポリシー設定を行ないます。
※ なお、ここではリムーバブルデバイス以外のデバイスタイプ・ポートに対しては「フルアクセス可能」に設定するものとします。

左ペインで[DeviceLock Service]-[デバイス]-[アクセス許可]と展開すると、右ペインに、対応するデバイスタイプ・ポートがリストされます。
右ペインのリスト全行について、[標準]が「フルアクセス権あり」、[オフライン]が「未構成」に設定されていることを確認し、異なっている場合は変更します。
これで、全てのデバイスタイプ・ポートに対してのフルアクセス権が設定されます。
[着脱可能デバイス]をダブルクリックするか、右クリックして表示されるコンテキストメニューから[アクセス許可の設定...]を選択すると、アクセスポリシー変更画面が表示されます。
初期値は何も設定されていない状態で、全てのユーザー(Everyone)に対してフルアクセス権([ユーザーの権利]の全ての項目が[許可])が設定されています。

今回は、リムーバブルデバイスを「読み込み可能」「書き込み不可」に設定します。[ユーザー]欄で[デフォルト設定]ボタンをクリックすると下左図のように3つのユーザー(グループ)が出てきますので、[Administrators]を選択(クリック)してから[削除]ボタンをクリックして削除します。[SYSTEM]を選択して、下中央図のように[ユーザーの権利]の全ての項目が「許可」にチェックされていることを確認します。※ SYSTEMユーザーに対するフルアクセス権付与は、Windowsがリムーバブルデバイスを適切に認識できるようにするためです。
[Everyone]を選択して[ユーザーの権利]の項目を、下右図のように「一般・書込み」をノーチェックに変更して[OK]ボタンをクリックします。

Step: テスト

USBメモリーなどのリムーバブルデバイスをPCに装着し、エクスプローラーから開き内容を参照します(読み込みは可能なため、フォルダーを開いてファイルを見ることはできます)。

このデバイスに対し任意のファイルの書込み操作をすると、書き込み不可の設定によってエラーになります。このとき拒否されたアラートメールが送信されてくるかテストします。

※サンプル

Reference: 参考

SMTPしきい値の設定によっては、電子メールが暫く発信されないことがあります。イベントの統合よりもメールのリアルタイム性を重視する場合は、しきい値を短く設定して試してください。
この機能を利用するにはSMTPサーバーが必要ですが、Yahoo! メール等の、無料のメールサービスを利用することも可能です。SMTPサーバー設定や認証、アカウント等については各業者にお問い合わせください。
メールキューはローカルストレージディレクトリ(デフォルトでは %SystemRoot%\SHADOW)に保持されますので、ローカルストレージ割り当てで設定される容量制限に影響します。

ローカルストレージ割り当てにつきましては「 DeviceLockテクニカルガイド第20回シャドウログのローテーションを設定するには」を参照してください。

DeviceLockテクニカルガイドとは？

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム　

投稿日：2020年04月30日