監視と監査

監視と監査で、BioStar X のセキュリティ状態を把握できます。 効果的な監査には、オペレーティングシステム、アプリケーション、データベースレベルでログを有効にし、中央集約して定期的に確認する必要があります。

ロギングポリシーの定義

ログに記録するイベント、保持期間、確認担当者を明示するロギングポリシーを策定する必要があります。

少なくとも次のイベント種類をログに記録してください。

• 認証試行（成功/失敗）

• 権限変更

• 設定変更

• データベースアクセス

• ファイアウォールのアクティビティ

情報

保持期間: 通常はローカルで90〜180日、中央集約システムではさらに長期間に設定することを推奨します。

Windows のイベントログと監視を有効にする

• イベント ビューアーで、セキュリティ、アプリケーション、システムのロギングが有効か確認してください。

• ログサイズを設定してください。 セキュリティ ログは、少なくとも 1 GB 以上に設定することを推奨します。

• ローカル セキュリティ ポリシー（secpol.msc）→ ローカル ポリシー→ 監査ポリシーで、次のポリシーの監査を設定してください。

  ログオン イベント、権限使用、ポリシー変更、アカウント ログオン、オブジェクト アクセス

中央集約ログ転送と SIEM 連携

• ログを中央 SIEM またはログ管理システムに転送してください。

• サポートオプション: Splunk、Elastic Stack、Microsoft Sentinel、Windows Event Forwarding（WEF）

ベストプラクティス

転送中のログを TLS で暗号化し、傍受や改ざんを防止してください。

アプリケーションレベルの監査を有効にする

• BioStar X → 設定 → サーバーで、ｼｽﾃﾑﾛｸﾞﾚﾍﾞﾙの設定 セクションに移動してください。

• ログ ファイルの場所は、[BioStar X インストール パス]\logs\acs.log です。

• BioStar X サービス アカウントと管理者のみがアクセスできるように権限を設定してください。

• SIEM または中央ログソリューションにログを転送してください。

データベース監査を有効にする

• MariaDB: 監査プラグイン（server_audit）を使用します。

• SQL Server: SQL Server Audit 機能を使用して、ログをファイルまたはイベント ログに記録します。

• 中央ログ システムに転送します。

情報

データベース監査の有効化の詳細は、データベースとデータ保護を参照してください。

ファイアウォールとネットワークアクティビティの監視

• 高度なセキュリティが含まれる Windows Defender ファイアウォール（wf.msc）→ プロパティ→ ログで、パケット損失のロギングを有効にしてください。

• %systemroot%\system32\LogFiles\Firewall\pfirewall.log のパスにログを保存してください。

• SIEM にログを転送してください。

• 異常の兆候を検出するために、IDS/IPS（Snort、Suricata、Zeek）を展開します。

注意

ファイアウォール ログは急速に増加するため、ログローテーションと安全な保存先を実装する必要があります。

確認とアラート

重要イベントの自動アラートを設定してください。

• 繰り返されるログイン失敗

• 権限昇格

• 予期しないサービスの開始と停止

• データベース スキーマの変更

定期的にログを手動で確認してください。