Veeam ONE Web Client – 悪意ある攻撃者からの設定変更を追跡するレポート

Veeam Softwareの中川です。パートナーやエンドユーザーを対象に、製品トレーニングを提供しています。Veeam Data PlatformのAdvancedエディション以上で提供される監視製品の「Veeam ONE」について、計12回にわたりご紹介します。

 

1回目:Veeam ONEとは?

2回目:Veeam ONEのインストール, Veeam ONE Clientアクセス方法, 設定メニュー

3回目:Veeam ONE Client – データ保護環境の監視および考察

4回目:Veeam ONE Client – ランサムウェア対策のための事前定義アラーム

5回目:Veeam ONE Client – 悪意ある攻撃者からの設定変更を追跡するアラーム

6回目:Veeam ONE Client – 仮想環境運用時のスナップショットも監視は必須

7回目:Veeam ONE Client – インテリジェント診断にアシストしてもらおう

8回目:Veeam ONE Web Client – アクセス方法, 設定メニュー, ダッシュボードの活用

9回目:Veeam ONE Web Client – スケジュールしたレポートを報告書に流用

10回目:Veeam ONE Web Client – 悪意ある攻撃者からの設定変更を追跡するレポート

11回目:Veeam ONE Web Client – Veeamで実装する暗号化の設定変更追跡レポート

12回目:Veeam ONE Web Client – ジョブを一覧するカレンダー、Veeam Backup & Replication v12で強化されたセキュリティ機能

 

 

10回目は「Veeam ONE Web Client – 悪意ある攻撃者からの設定変更を追跡するレポート」です。

5回目では設定変更を追跡する定義済みアラームの内容を紹介しました。今回はHardened Repositoryの設定変更によって通知された警告アラートと変更追跡のための事前に定義された2つのレポートを紹介します。

 

Hardened Repositoryの不変期間変更

アラートを表示させるためにHardened Repositoryの不変期間を10日から7日(最小期間)へ変更します。

図1:Hardened Repositoryの設定画面

通知された「Immutability change tracking」アラート

通知されたアラートには、「Description」が追加され、不変期間が減少されたからアラームを通知したと説明があります。どのユーザーアカウントによって、不変期間が以前の値から現在どの値に変更されたかも確認できます (赤線箇所)。

図2:Immutability change trackingアラート

Backup Objects Change Tracking」レポート

さらなる設定変更の追跡のために、「Backup Objects Change Tracking」レポートを使用します。

「Backup Objects Change Tracking」レポートは、「Veeam Backup Monitoring」フォルダ内にあります。このレポートは、「Period」「Object types」「Object inclusion rule」「Users」の4つのフィルタリング設定があります。今回は「Object types」で「Backup repository」を選択したレポートを表示します。

図3:レポートの表示設定

Description」には、「This report provides detailed information on backup infrastructure configuration changes that occurred during a specified period, including the exact time and the account name of the user who made the changes. (このレポートは、指定された期間に発生したバックアップインフラ構成の変更に関する詳細情報を提供し、正確な時間と変更を行ったユーザーのアカウント名を含みます。) 」とあります。

1ページ目のグラフ表示から、指定した期間に、「veeamholドメインの管理者 (アカウントのUNC名)」によって、「Hardened Repository (バックアップリポジトリ名)」に変更がなされたことがわかります。

図4:「Backup Objects Change Tracking」レポート①

2ページ目の「Change Details」を確認します。Detailsでは変更した正確な時間も確認できます(図5参照)。設定内容や変更日時に心当たりがなければ不変期間を再設定し、ユーザーアカウントのパスワード変更を行います。パスワード変更は急務ですね。

図5:「Backup Objects Change Tracking」レポート②

Best Practices Analyzer

いったんレポートから外れ、Veeam Backup & Replication v12から提供された、「Best Practices Analyzer」をご紹介します。

パスワードの変更に加え、侵入経路の確認も急務ですね。攻撃者はどこから侵入したのか。

VPNの脆弱性を狙ったランサムウェア攻撃のニュースを耳にすることがあります。ランサムウェア関連の記事によるとVPNの次はリモートデスクトップからの侵入だそうです。

バックアップサーバーがVeeam推奨のセキュアな設定で構成されているかを確認するために「Best Practices Analyzer」が提供されています。こちらもぜひ活用ください。

対象から除外したい項目がある場合は、チェック項目を選択し、「Suppress」をクリックします。「いつ誰によって」除外されたかをコメントアウトします。図6の緑色点線枠内は除外した結果です。

除外した項目をチェックリストに戻すには、除外項目を選択後、「Reset」をクリックします。

図6:Best Practices Analyzer

Backup Infrastructure Audit」レポート

次は監査目的の「Backup Infrastructure」レポートです。

「Backup Infrastructure」レポートも、「Veeam Backup Monitoring」フォルダ内にあります。

Description」には、「This report tracks configuration changes in your virtual environment, providing detailed information about every change for each user. (このレポートは、仮想環境の設定変更を追跡し、各ユーザーのすべての変更に関する詳細情報を提供します。) 」とあります。説明文に仮想環境とありますがバックアップコンポーネント対象の監査レポートです。

vSphere環境の設定変更追跡には、「Infrastructure Changes Audit」レポートを使用します。

フィルタリング設定の「Object types」から、「Backup Server」「Backup Proxy」「Backup Repository」「Cloud Gateway」「WAN Accelerator」「Cloud Repository」のすべて、またはいずれかを選択します(図7の赤色下線箇所は選択結果)。

「Audit (監査)」レポートですから、誰がどのオブジェクトにいつ設定変更をしたかを確認できます。

変更された設定値も追跡したい場合は、3つのメインコンポーネント(図3参照)に限定されますが、先にご紹介した「Backup Objects Change Tracking」レポートを使用します。

図7:「Backup Infrastructure Audit」レポート①
図8:「Backup Infrastructure Audit」レポート②

まとめ

5回目で、「攻撃者はすぐには攻撃をしかけない」「悪意ある攻撃者はネットワークを水平展開(ラテラルムーブメント)し、設定変更後、バックアップの削除を行う」とお伝えしました。今回はまさに「誰が」「いつ」「何を」「どうした」を監視するアラームと変更追跡のためのレポートを紹介しました。

私の環境では不変期間の変更を試みた後、5分後にアラームが通知されました。アラームやレポートが提供する正確な情報から設定変更を行ったユーザーアカウントをいち早く特定することは急務です。

悪意ある攻撃者か否かを特定するために、アラームやレポートを役立てていただけましたら幸いです。

攻撃防御のために、下記参考情報のVeeam ONEがVeeam Backup Serverへ接続するためのアクセス許可とWindowsファイアウォールルールに関するユーザーガイドも併せてご確認ください。

 

 

◆参考情報 Webブラウザの日本語翻訳機能をご利用ください。

・Backup Objects Change Tracking

https://helpcenter.veeam.com/docs/one/reporter/backup_objects_change_tracking.html?ver=120

・Backup Infrastructure Audit

https://helpcenter.veeam.com/docs/one/reporter/backup_infrastructure_audit.html?ver=120

・Connection to Veeam Backup & Replication Servers

https://helpcenter.veeam.com/docs/one/deployment/connection_to_backup_servers.html?ver=120

・Firewall Rules

https://helpcenter.veeam.com/docs/one/deployment/firewall_rules.html?ver=120

・内閣サイバーセキュリティセンター提供のランサムウェアによるサイバー攻撃に関する注意喚起について

※P.4の(2)の被害を軽減するための対応策では、Veeamが提唱する3-2-1-1-0ルールと同様の内容が提示されています。

https://www.nisc.go.jp/pdf/policy/infra/ransomware20210430.pdf

Stay up to date on the latest tips and news
By subscribing, you are agreeing to have your personal information managed in accordance with the terms of Veeam’s Privacy Policy
You're all set!
Watch your inbox for our weekly blog updates.
OK