1. /
  2. /
  3. SysLogs 集計
プリザンター

SysLogs 集計

  • Pocket
  • by teruhisa
  • 0

分析監視ルールとSysLogs集計の関係

区分内容
SysLogs集計事実データを「判断可能な形」に変換
集計結果人が異常に気づくための可視化
分析監視ルール何を危険とみなすかの業務定義

分析監視ルール一覧

【重大レベル:即時対応】

R1 深夜・休日 × API実行

  • 条件: (稼働日区分=休日 OR 時間帯=深夜) AND ApiFlag=1
  • 想定: ランサムウェア自動暗号化・暴走バッチ

R2 ログイン失敗集中

  • 条件: 失敗ログイン数 ≥ 閾値
  • 想定: ブルートフォース攻撃

R3 削除件数超過

  • 条件: 削除数 ≥ 閾値
  • 想定: 大量データ破壊

R4 深夜 × 削除/一括処理

  • 条件: 時間帯=‘深夜’ AND (削除数>0 OR カテゴリ=‘一括処理’ OR カテゴリ=‘フォルダ破壊:危険操作’)
  • 想定: 不自然な破壊操作

R5 深夜 × 編集操作

  • 条件: 時間帯=‘深夜’ AND カテゴリ=‘編集’
  • 想定: 夜間改ざん

【警告レベル:早期確認】

W1 APIエラー

  • 条件: ApiFlag=1 AND エラー数>0

W2 平均処理時間超過(上位概念)

  • 条件: 平均時間 > 閾値
  • 意味: 継続的高負荷

W3 最大処理時間超過(単発)

  • 条件: 最大時間 > 閾値 AND W2非該当

※ W2該当時は、最大時間超過があってもW3として扱わない

W4 危険カテゴリ操作

  • 条件: カテゴリ = ‘フォルダ破壊:危険操作’ OR ‘フォルダ権限:管理操作’

W5 APIキー認証失敗

  • 条件: HTTPステータス=401
  • APIキー:Sheet0 K4にセット

【行動異常:なりすまし】

A1 なりすまし疑い

  • 条件: 同一ユーザー × 複数UserHostName
  • 除外: ユーザー名に「不明」を含む場合

SysLogs集計が提供する判断材料

集計項目使用ルール
時間帯R1, R4, R5
稼働日区分R1
ApiFlagR1, W1
削除数R3, R4
平均時間W2
最大時間W3
エラー数W1
失敗ログイン数R2
UserHostNameA1
カテゴリR4, R5, W4

集計項目の詳細

時間帯

  • 内容:操作が行われた時間を「通常/夜間/深夜」に分類
  • 判断に使う理由:
    • 深夜・夜間の操作は、誤操作や不正の可能性が高いため
  • 関連ルール:R1, R4, R5

稼働日区分

  • 内容:平日か休日かを判定
  • 判断に使う理由:
    • 休日の操作は通常業務外であり、特にAPI実行は要注意
  • 関連ルール:R1

API実行(ApiFlag)

  • 内容:画面操作ではなく、APIによる自動実行かどうか
  • 判断に使う理由:
    • ランサムウェアやバッチ暴走はAPI経由で起きやすい
  • 関連ルール:R1, W1

アクセス数

  • 内容:同じ条件で操作が行われた回数
  • 判断に使う理由:
    • 急激な増加はループ処理や攻撃の兆候

平均処理時間

  • 内容:操作1回あたりの平均応答時間
  • 判断に使う理由:
    • 継続的に処理が重くなっている状態を検知
  • 関連ルール:W2(上位概念)

最大処理時間

  • 内容:最も時間がかかった1回の処理時間
  • 判断に使う理由:
    • 一時的な詰まりや異常処理を把握
  • 関連ルール:W3(※W2非該当時のみ)

エラー数

  • 内容:HTTPステータス400以上の発生回数
  • 判断に使う理由:
    • API誤設定、不正リクエスト、システム異常の兆候
  • 関連ルール:W1

削除数

  • 内容:delete系操作の実行回数
  • 判断に使う理由:
    • データ破壊や暗号化前兆を早期検知
  • 関連ルール:R3, R4

失敗ログイン数

  • 内容:ログイン・認証失敗の回数
  • 判断に使う理由:
    • パスワード総当たりや侵入試行の兆候
  • 関連ルール:R2

操作カテゴリ

  • 内容:操作内容を「編集/削除/一括/危険操作」などに分類
  • 関連ルール:R4, R5, W4
  • 判定カテゴリ 条件 (Method) 対象 (SiteId vs ReferenceId) 意味・監視上の扱い
  • フォルダ破壊:危険操作 bulkdelete, delete 一致 (SiteId = ReferenceId) フォルダ(サイト)そのものの削除。最優先警戒。
  • フォルダ権限:管理操作 setpermissions, editapi, createapikey, setsitesettings 一致 (SiteId = ReferenceId) 権限変更やAPI鍵発行。バックドア設置の疑い。
  • 一括処理 bulkupdate, bulkupdateselectchanged 不問 大量データの書き換え。R4(深夜一括)の対象。
  • 削除 delete, deletecomment 不一致 (SiteId <> ReferenceId) 個別レコードの削除。R3(削除件数超過)の対象。
  • 照会 index, show, get, gridrows, crosstab… 不問 データの閲覧。アラート(W4)からは除外。

端末名(UserHostName)

  • 内容:操作に使われた端末の識別名
  • 判断に使う理由:
    • 同一ユーザー×複数端末はなりすまし疑い
  • 関連ルール:A1

  • Pocket