ログ分析・監視テクニック

Microsoft Defender ファイアウォールのログ活用事例

この記事は投稿日から1年以上経過しています。

当記事では、Microsoft Defender ファイアウォール(Windows Defender ファイアウォール)のログ活用事例としてログフォワーダー「okurun.jar」を利用してSyslogとして収集したログのレポートを紹介します。ログフォワーダー「okurun.jar」については以下の記事を参照してください。
ログフォワーダー「okurun.jar」について

ログ収集方法について

収集方法につきましては、まず以下の記事を参照してください。
Microsoft Defender ファイアウォールログをLSCにて収集する方法

LogStare Collector(以下、LSCと記載) にて収集する際、Syslog収集設定における「除外マッチング文字列」にて次の文字列を設定してください。
「#」
この設定はSyslogとして転送されるメッセージの内、Microsoft Defender ファイアウォールのログの実際のログメッセージではない部分をLSCにて収集させないための設定になります。以下はWindows上にて出力されたMicrosoft Defender ファイアウォールのログファイルより抜粋したものです。

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path

~以下、実際のログメッセージが続く~

「#」が先頭に付与されている行は、Microsoft Defender ファイアウォールのログについての基本情報となります。この基本情報もログフォワーダー「okurun.jar」はログメッセージとして転送するので、LSC側で収集させない設定が必要となります。

ログレポートの紹介

当記事で紹介するレポートは当社のLogStare Reporter若しくはLogStare Quintにて生成されたものとなります。

以下はレポートの一例です。

プロトコル別レポート

通信ログをプロトコル別に集計したレポートです。通信方向が含まれているので対象のMicrosoft Defender ファイアウォールにおいてどのような通信が発生したかが確認出来ます。例えば、マルウェア感染時におけるネットワーク探索行動の一つであるPINGを利用したホストの探索が発生した場合、以下の図のようにプロトコル「ICMP」通信方向「SEND」での宛先IPアドレス(ユニーク数)の件数が平常時より多く検出される可能性があります。

日付別レポート

通信ログに関する日付別のサマリーレポートです。推移を比較することで平常時からの逸脱を視覚的に把握することが出来ます。以下の図では、特定の日付にて通信の許可件数が減少していることが確認出来ます。※黄色がAllow件数を示し、水色がAllow以外の件数を示しています。

ログレポートに関するお問い合わせについて

下記のフォームよりお問い合わせください。
お問い合わせ | AI予測・システム監視・ログ管理を統合したセキュリティ・プラットフォーム LogStare(ログステア)

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

LogStare Collectorの障害や不具合に関するお問い合わせにおいて連携頂きたい情報について前のページ

PaloAltoのURLフィルタリングのカテゴリ例外における脆弱性(CVE-2022-0011)について次のページPALOALTOのURLフィルタリングのカテゴリ例外における脆弱性

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. ログ分析・監視テクニック

    ZabbixヒストリデータをLSCにて収集する方法について

    当記事では、ZabbixヒストリデータをLogStare Collec…

  2. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!

    こんにちは!昨年LogStareの開発チームとして入社したKJです。…

  3. iNetSec SFのSyslog・接続履歴ログを収集

    ログ分析・監視テクニック

    iNetSec SFのSyslog/接続履歴ログを収集するための設定方法

    当記事では、株式会社PFUのiNetSec SFを導入している環境…

  4. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する

    当記事では、ジュピターテクノロジー株式会社様が国内で販売するntop社…

  5. WatchGuard Fireboxのログを収集するための設定方法

    NW機器

    WatchGuard Fireboxのログを収集するための設定方法

    当記事では、WatchGuard社FireboxシリーズのログをSys…

  6. ログ分析・監視テクニック

    IPCOM EX2シリーズのSyslogをLogStare Collectorで収集するための設定方…

    Tech-Blogカテゴリにおけるサードパーティ製品の設定内容につきま…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  2. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  3. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  4. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  5. 実践記事

    DNSキャッシュポイズニングやってみた
PAGE TOP