1. LANSCOPE クラウド版の操作ログ取得機能とは

LANSCOPE クラウド版はWindowsデバイスの操作ログ取得機能を提供しています。どの部署の、誰が、どのような操作を行っているのか、?取得した操作ログを管理コンソールから確認と出力できます。取得できる主なログは以下の通りです。

取得した操作ログは、条件を設定し管理コンソール上で検索したり、CSV形式で出力が可能です。

また取得した操作ログは最大で過去5年分保存します。今回は本機能を利用して出力したCSVデータを加工します。

2. ログ分析方法の解説例

例えば、ダウンロード・アップロードログの分析によって以下のご要望を満たせる場合があります。

LANSCOPEのダウンロード・アップロードログにはWebブラウザに表示されているタブのタイトルやURLの情報が含まれます。

LANSCOPEではユーザーの操作内容を詳細にログ化することが可能ですが、その数は膨大なため、１つ１つの内容を確認していくのは非現実的です。

そこで今回は「Python」を利用し、ダウンロード・アップロードログの情報をグラフ化します。

具体的には以下のような処理を行っています。

加工したデータはグラフ形式に変換し、画像ファイルに出力しています。

3. Pythonを活用したデータの解析結果

解析結果が次の画像になります。

取得したWebアクセスログからダウンロード・アップロードが多いドメインを表示しています。グラフ化により社内で推奨しているオンラインストレージの利用率などを可視化することが可能です。利用状況を確認することで、Webブラウザを起因としたセキュリティインシデントを未然に防ぐことなどにも活用できます。

別のログデータについても加工を行うことで、PCの利用状況を可視化することができます。

ドライブ追加の多いメディア（左）

ドライブ追加アラートを集計し、PCとの接続が多いUSBメモリなどの記録メディアをグラフ化しています。社内で認めていないUSB機器などは、暗号化など十分なセキュリティ対策を講じられていない可能性があるため、LANSCOPEの記録メディア制御機能で利用を禁止するなどの対策がおすすめです。

デスクトップでのファイル操作件数（右）

セキュリティ上、デスクトップへのファイル保存などが認めていない場合などに違反操作として管理できます。また、LANSCOPEの外部脅威調査オプションのログを利用すると各アプリケーションの通信先（アプリ通信ログ）についても集計を行うことが可能です。

通信先ポート番号が443のアプリケーションのイベント数（左）

通信ポート番号がTCP443のアプリケーションが起動した回数をグラフ化しています。インターネット接続が必要なアプリケーションを確認することができます。インターネット回線の利用状況を把握するための参考情報やクラウド系のアプリケーション利用状況の把握に利用可能です。

RDP接続先（右）

リモートデスクトップアプリの通信先IPアドレスをグラフ化しています。意図しない接続先がログ化されている場合はセキュリティ要件を確認するきっかけにもなります。

さいごに

今回は外部製品を利用せず、Pythonにてログの分析を行いました。

LANSCOPEでは連携機能により一部のSIEM製品にログを送信することが可能です。そのような外部製品をお持ちでない場合でも、LANSCOPEのコンソールから勤怠状況などのレポートを活用し、利用状況を把握できます。

CSVデータの加工に関して詳細確認をご希望の際は、お気兼ねなくお問い合わせくださいませ。加工方法などについては無償でご相談可能です。

ログデータの加工は試験中の段階になりますので、加工に関するご意見・要望も合わせて受け付けております。