ログ分析・監視テクニック

Microsoft Defender ファイアウォールのログ活用事例

この記事は投稿日から2年以上経過しています。

当記事では、Microsoft Defender ファイアウォール(Windows Defender ファイアウォール)のログ活用事例としてログフォワーダー「okurun.jar」を利用してSyslogとして収集したログのレポートを紹介します。ログフォワーダー「okurun.jar」については以下の記事を参照してください。
ログフォワーダー「okurun.jar」について

若手エンジニア志望者を募集!支度金あり

ログ収集方法について

収集方法につきましては、まず以下の記事を参照してください。
Microsoft Defender ファイアウォールログをLSCにて収集する方法

LogStare Collector(以下、LSCと記載) にて収集する際、Syslog収集設定における「除外マッチング文字列」にて次の文字列を設定してください。
「#」
この設定はSyslogとして転送されるメッセージの内、Microsoft Defender ファイアウォールのログの実際のログメッセージではない部分をLSCにて収集させないための設定になります。以下はWindows上にて出力されたMicrosoft Defender ファイアウォールのログファイルより抜粋したものです。

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path

~以下、実際のログメッセージが続く~

「#」が先頭に付与されている行は、Microsoft Defender ファイアウォールのログについての基本情報となります。この基本情報もログフォワーダー「okurun.jar」はログメッセージとして転送するので、LSC側で収集させない設定が必要となります。

ログレポートの紹介

当記事で紹介するレポートは当社のLogStare Reporter若しくはLogStare Quintにて生成されたものとなります。

以下はレポートの一例です。

プロトコル別レポート

通信ログをプロトコル別に集計したレポートです。通信方向が含まれているので対象のMicrosoft Defender ファイアウォールにおいてどのような通信が発生したかが確認出来ます。例えば、マルウェア感染時におけるネットワーク探索行動の一つであるPINGを利用したホストの探索が発生した場合、以下の図のようにプロトコル「ICMP」通信方向「SEND」での宛先IPアドレス(ユニーク数)の件数が平常時より多く検出される可能性があります。

日付別レポート

通信ログに関する日付別のサマリーレポートです。推移を比較することで平常時からの逸脱を視覚的に把握することが出来ます。以下の図では、特定の日付にて通信の許可件数が減少していることが確認出来ます。※黄色がAllow件数を示し、水色がAllow以外の件数を示しています。

ログレポートに関するお問い合わせについて

下記のフォームよりお問い合わせください。
お問い合わせ | AI予測・システム監視・ログ管理を統合したセキュリティ・プラットフォーム LogStare(ログステア)

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

LogStare Collectorの障害や不具合に関するお問い合わせにおいて連携頂きたい情報について前のページ

PaloAltoのURLフィルタリングのカテゴリ例外における脆弱性(CVE-2022-0011)について次のページPALOALTOのURLフィルタリングのカテゴリ例外における脆弱性

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. ログフォワーダー「okurun.jar」について
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. Barracuda WAF|ログを収集するための設定方法
  2. ログ分析・監視テクニック

    IPCOM EX2シリーズのSyslogをLogStare Collectorで収集するための設定方…

    Tech-Blogカテゴリにおけるサードパーティ製品の設定内容につきま…

  3. ログ分析・監視テクニック

    Zabbixヒストリデータのレポート生成について

    当記事では、NetStare Suite(以下、NSSと記載)における…

  4. ログ分析・監視テクニック

    Windows Server DNSのデバッグログ活用事例

    当記事では、Windows Server DNSのデバッグログ活用事例…

  5. ログ分析・監視テクニック

    SNMPv2のススメ

    当記事では、SNMPのご利用においてSNMPv1、SNMPv2cを比較…

  6. NW機器

    Cubro社Packetmasterによる複数のSyslog/SNMP-Trap転送を可能にする

    当記事では、Cubro社のPacketmasterを使用して、既存環境…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  2. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  3. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  4. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  5. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
PAGE TOP