Chapter 36

Windows Kerberosチケット発行状況レポート

twsnmp
twsnmp
2022.07.18に更新

twWinlogセンサーで集めたWindowsサーバーのKerberosチケットの発行に関するレポートの説明です。Windowsサーバーが発行したKerberosのチケットの種類、要求元、成功と失敗の回数をカウントしています。Windowsサーバーに関するセキュリティーの問題を調査するのに役立つと思って作った機能です。

Windows Kerberosレポートの表示方法

メニューの「レポート」ー「Windows分析」ー「 Kerberos」をクリックすると表示できます。

Windows Kerberosレポート画面

のような感じです。

①Kerberosチケット発行状況リスト

WindowsサーバーのKerberosチケットの発行状況に関するリストです。
信用スコア、チケットの対象、コンピュータ、要求元のIPアドレス、サービス、チケットの種類、要求の回数、失敗の回数、最後に検知した日時、操作ボタンがあります。項目をクリックすれば並べ替えできます。

②操作ボタン

<詳細>ボタンと<削除>ボタンがあります。
<詳細>ボタンをクリックすると

のようなダイアログで詳細な情報を表示します。
<削除>ボタンをクリックすると

の確認ダイアログを表示して選択した項目を削除できます。

③ディスプレイフィルター

リストの内容をログオン先、コンピュータ、接続元に入力した文字列を含む項目に絞って表示できます。

④<グラフと集計>ボタン

クリックするとグラフと集計のメニューを表示します。

⑤<CSV>ボタン

リストの内容をCSVファイルに保存します。

⑥<EXCEL>ボタン

リストの内容をEXCELファイルに保存します。

⑦<再計算>ボタン

信用スコアを再計算するためのボタンです、クリックすると確認ダイアログを表示します。

⑧<更新>ボタン

リストの内容を最新の情報に更新します。

グラフ分析

チケットの要求元と対象の関係を力学モデルか円形のグラフで表現したものです。

3D集計

チケットの要求元、対象と回数を3Dのグラフで表現したものです。

Kerberosレポートについて

このレポート機能は、IPAがサイバー攻撃対策として紹介しているActive Directoryのログ調査に役立つかと思って作ったものです。

https://www.jpcert.or.jp/research/AD.html

私はWindowsのサーバー管理を実際にしていないので、どの程度有効かはわかりません。もし、改善点があれば、教えてください。