特権アクションを実行している非特権ユーザーアカウントの検出

クレジットカード業界データセキュリティ基準 (PCI DSS) は、クレジットカード所有者データを盗難や悪用から保護するために作成されました。企業がこの種のデータの保護を強化すべき12のセキュリティ分野を定義しています。この要件は、カード所有者データを保存、処理、送信する加盟店、処理者、第三者サービスプロバイダーなど、クレジットカード処理に関わるすべての人に適用されます。カード会員データのセキュリティを促進および改善するとともに、一貫したデータセキュリティ対策のグローバルな採用を促進するために開発されました。

「管理者」や「ルート」アカウントなど、権限が高いアカウントは、システムやネットワークのセキュリティや運用機能に大きな影響を与える可能性があります。実施された活動の監査証跡がなければ、組織は管理上のミスや権限の悪用に起因する問題を、特定の行動や個人にまでさかのぼって追跡することができません。

攻撃者は通常、特権ユーザーの認証情報を標的にして、組織の価値の高いリソースや機密情報にアクセスします。特権ユーザーアカウントとは、管理者権限またはルート権限を持つユーザーのアカウントと、高度なシステムアクティビティを実行するためにアップグレードされた権限を持つユーザーのアカウントです。特権ユーザーを効率的に監視することは、重要な資産を保護するうえで組織にとって重要な役割を果たします。さらに、コンプライアンス要件を満たし、内部および外部の脅威の数を減らすのにも役立ちます。

必要なデータ

ユーザーアクティビティログデータ

使用方法 Splunk Enterprise Security このユースケースでは

この記事の情報は以下に適用されます。 Splunk Enterprise Security (ES) バージョン 7.xお持ちの場合にアップグレード Splunk Enterprise Security バージョン 8.x 、一部の用語や手順は当てはまらない場合があります。ES 8.x でのこのユースケースについてさらにサポートが必要な場合は、 Splunk Professional Services お手伝いできます。

活用できます Splunk Enterprise Security ユースケースを使用して権限アカウントのアクティビティを効果的に監視し、PCI-DSS コンプライアンスを確保できます。使用 Splunk Enterprise Security 相関検索により、ルート権限または管理者権限を持つ個人が行ったすべてのアクションや、権限のないユーザーアカウントがエスカレーションアクションを実行しようとしたときに行なわれたアクションをすべて検出できます。

Microsoft Active Directory (AD) サーバーや LDAP サーバーなどの認証サーバーからのユーザーアカウントイベントを、ユーザーアクティビティの主要なソースとして設定します。
- ユーザー認証情報やユーザー権限のアップグレード、新規ユーザーの作成などのイベントを監視していることを確認してください。
- アカウント名、アカウントカテゴリ、関連ユーザーの部署、その他の関連情報が認証情報データとともに表示されていることを確認してください。
特権イベントのリストを生成します。Splunk テクニカルアドオンの多くは、デフォルトで特権アクションを定義しています。
特権ユーザーと非特権ユーザーのリストを生成します。この詳細な例については、以下を参照してください。 Splunk Security Essentials 。

次の検索を実行します。インデックスを指定して時間範囲を調整することで最適化できます。

index=* source="*WinEventLog:Security" tag=privileged 
| lookup PrivilegedRiskScores user OUTPUT isAdminAccount 
| search isAdminAccount=0

どのような結果になっても、ユーザーまたは管理スタッフにフォローアップして、アカウントがこれらのアクションを実行している理由を調査してください。
必要な場合は、完全な調査が行われ、ユーザーイベントが検証されるまで、アカウントアクティビティを無効にしてください。
ユーザーガイダンスや変更管理プロセスなどの是正措置が承認された場合は、これらの措置を実行してください。

特権アクセス権は、適切な期間 (少なくとも月に1回) に見直す必要があります。ローカルシステムアクセスを含め、ファイルとデータベースへのすべての特権ユーザーアクセスを監視する必要があります。特権ユーザによる重大な変更の警告メカニズムは、SOC の運用部門と共有する必要があります。

次のステップ

This use case is also included in the Splunk Security Essentials app, which provides more information about how to implement the use case successfully in your security maturity journey.
You might also be interested in the use case Using Splunk Enterprise Security to ensure PCI compliance.
Splunk OnDemand Services: Use these credit-based services for direct access to Splunk technical consultants with a variety of technical services from a pre-defined catalog. Most customers have OnDemand Services per their license support plan. Engage the ODS team at ondemand@splunk.com if you would like assistance.