構築中。

名古屋のITインフラお守り係です。ITイベントへの参加記録などを残していきます。

ハンズオン、実際にやってみた(前半戦)

こちらでレポートした、Internet Week 2016 2日目のハンズオン、T9 実践インシデント対応~侵入された痕跡を発見せよ~を、実際に社内でやってみました。

 

といっても、終業時間後に実施したので、まだ前半戦だけです。

本物のほうでは、説明の後、5段階に分けてハンズオンが行われましたが、第1段階は簡単な説明のみで流したので、自社ハンズオンでもそれに倣って簡単な説明にとどめました。

前半戦として、第2・第3段階まで行い、必要なログが取れている場合と、取れていない場合(ログを取る設定をしていない場合)の差が非常に大きいことを、参加メンバーに体感してもらいました。

 

資産管理ソフト(SKYSEA、LanScopeなど)を導入している場合は、そちらのログをどの程度取るか、との兼ね合いになりますが、Windowsの監査ポリシーやSysmonなど、標準またはインストールするだけで使える純正ツールで取ることができるログについても、できる限り取るように設定しておくことをお勧めします。

 

もちろん、無償とはいえ、ログの保存容量と保存期間にも気を遣う必要はありますので、追加のコストは掛かるかもしれません。

ただ、何かが起きた後で設定しても遅いので、何もないうちに対応しておくことが重要ですね。

 

後半戦は来週です。