Written by 矢本 匠
セールスエンジニア部にて、LANSCOPE エンドポイントマネージャー クラウド版を中心に製品のご提案をしています。
提案時の経験を活かし、データ活用や外部APIとの連携方法なども模索中です。
3分でわかるLANSCOPE クラウド版
導入実績9,000社以上。
LANSCOPE クラウド版 なら PC・スマホを一元管理。
管理するデバイスがあればすぐに運用開始。クラウドならではの強みで組織のデバイス管理を支援します。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
昨今では、情報漏洩対策のためPCのログを取得しているお客様も多いと思います。一方で「ログの取得のみで、取得したログを活用できていない」というお悩みを持っておられる方も多いのが現状です。ログを活用することで有事の際の現状把握や違反操作を抽出し、正しい対策を打つことができます。
今回は、LANSCOPE クラウド版で提供する操作ログ取得機能を活用しログの見える化を行った事例をご紹介します。
1. LANSCOPE クラウド版の操作ログ取得機能とは
LANSCOPE クラウド版はWindowsデバイスの操作ログ取得機能を提供しています。どの部署の、誰が、どのような操作を行っているのか、?取得した操作ログを管理コンソールから確認と出力できます。取得できる主なログは以下の通りです。
取得できる主な操作ログ
- ログオン/ログオフログ
- ウィンドウタイトルログ(アプリ利用ログ)
- ファイル操作ログ(コピー/移動/作成/上書き/削除/名前の変更)
- 記録メディアの追加/削除、書き込みログ
- Webサイト閲覧ログ
- Webサイトアップロード/ダウンロード/書き込みログ
- プリントログ
- 通信機器接続ログ
- アプリ稼働ログ ※オプション機能
- アプリ通信ログ ※オプション機能
取得した操作ログは、条件を設定し管理コンソール上で検索したり、CSV形式で出力が可能です。
また取得した操作ログは最大で過去5年分保存します。今回は本機能を利用して出力したCSVデータを加工します。
2. ログ分析方法の解説例
例えば、ダウンロード・アップロードログの分析によって以下のご要望を満たせる場合があります。
- Webブラウザを利用してどのようなサイトからファイルをダウンロードしているのかを知りたい
- 社内で推奨しているストレージサイトが利用されているかを知りたい
- Webサイトからのダウンロード回数が多い人を探したい
LANSCOPEのダウンロード・アップロードログにはWebブラウザに表示されているタブのタイトルやURLの情報が含まれます。
LANSCOPEではユーザーの操作内容を詳細にログ化することが可能ですが、その数は膨大なため、1つ1つの内容を確認していくのは非現実的です。
そこで今回は「Python」を利用し、ダウンロード・アップロードログの情報をグラフ化します。
具体的には以下のような処理を行っています。
処理内容
- ダウンロード・アップロードログだけを抜粋する
- URLからドメイン情報のみを抜粋する
- ドメインごとにアクセス回数を集計する
加工したデータはグラフ形式に変換し、画像ファイルに出力しています。
3. Pythonを活用したデータの解析結果
解析結果が次の画像になります。
取得したWebアクセスログからダウンロード・アップロードが多いドメインを表示しています。グラフ化により社内で推奨しているオンラインストレージの利用率などを可視化することが可能です。利用状況を確認することで、Webブラウザを起因としたセキュリティインシデントを未然に防ぐことなどにも活用できます。
別のログデータについても加工を行うことで、PCの利用状況を可視化することができます。
ドライブ追加の多いメディア(左)
ドライブ追加アラートを集計し、PCとの接続が多いUSBメモリなどの記録メディアをグラフ化しています。社内で認めていないUSB機器などは、暗号化など十分なセキュリティ対策を講じられていない可能性があるため、LANSCOPEの記録メディア制御機能で利用を禁止するなどの対策がおすすめです。
デスクトップでのファイル操作件数(右)
セキュリティ上、デスクトップへのファイル保存などが認めていない場合などに違反操作として管理できます。また、LANSCOPEの外部脅威調査オプションのログを利用すると各アプリケーションの通信先(アプリ通信ログ)についても集計を行うことが可能です。
通信先ポート番号が443のアプリケーションのイベント数(左)
通信ポート番号がTCP443のアプリケーションが起動した回数をグラフ化しています。インターネット接続が必要なアプリケーションを確認することができます。インターネット回線の利用状況を把握するための参考情報やクラウド系のアプリケーション利用状況の把握に利用可能です。
RDP接続先(右)
リモートデスクトップアプリの通信先IPアドレスをグラフ化しています。意図しない接続先がログ化されている場合はセキュリティ要件を確認するきっかけにもなります。
さいごに
今回は外部製品を利用せず、Pythonにてログの分析を行いました。
LANSCOPEでは連携機能により一部のSIEM製品にログを送信することが可能です。そのような外部製品をお持ちでない場合でも、LANSCOPEのコンソールから勤怠状況などのレポートを活用し、利用状況を把握できます。
CSVデータの加工に関して詳細確認をご希望の際は、お気兼ねなくお問い合わせくださいませ。加工方法などについては無償でご相談可能です。
ログデータの加工は試験中の段階になりますので、加工に関するご意見・要望も合わせて受け付けております。
3分でわかるLANSCOPE クラウド版
導入実績9,000社以上。
LANSCOPE クラウド版 なら PC・スマホを一元管理。
管理するデバイスがあればすぐに運用開始。クラウドならではの強みで組織のデバイス管理を支援します。
お問い合わせ先:support@motex.co.jp
関連する記事