例:WMI モニタ
ネットワーク上のデバイスが総当たり攻撃 (侵��者がネットワーク上の IP アドレスの範囲でランダムなユーザー名とパスワードを試すスクリプトを実行する攻撃) を受け、不正にログインされたと仮定します。危険にさらされるデバイスがドメインにあるか、機密情報を保存している場合には、この種の攻撃は特に危険です。
カスタム WMI アクティブモニタを使用して、Windows デバイス上で適切なパフォーマンスカウンタをチェックし、この種の攻撃があった場合に侵入者がネットワークにアクセスする前に対策を実施するために通知を受けることができます。
この種類のアクティブモニタを設定するには:
- WhatsUp Gold Web インターフェイスを使用して、WMI モニタを作成します。
- WhatsUp Gold Web インターフェイスで、 に移動します。[モニタライブラリ] ダイアログが表示されます。
- ダイアログ内で タブをクリックします。
- をクリックします。[アクティブモニタの種類の選択] ダイアログが表示されます。
- を選択し、 をクリックします。[WMI モニタの追加] ダイアログが表示されます。
- ボックスに、このモニタがログインエラーを監視することを識別するために「ErrorsLogon」と入力します。
- 参照ボタン () をクリックして、[パフォーマンスカウンタ] ダイアログにアクセスします。
- 接続するコンピュータのコンピュータ名または IP アドレスを入力します。
- [Windows 認証情報] のリスト (認証情報ライブラリから取得) から認証情報を選択し、をクリックしてコンピュータに接続します。
- リストから を選択します。
- で を選択します。
- をクリックして、このパフォーマンスカウンタを [新規 WMI モニタ] ダイアログに追加します。
- リストから を選択します。
- ボックスに、許容するログインエラー回数を入力します。これはポーリング間にログインしようとして失敗した回数です。
- ボックスで、 を選択します。
- をクリックして、アクティブモニタをライブラリに追加します。
- このモニタを追加するデバイスへのログイン用の認証情報を入力します。
- そのデバイスの [デバイスのプロパティ] ダイアログで、 を選択します。
- を選択し、 をクリックします。
- 参照ボタン () をクリックして、認証情報ライブラリにアクセスします。
- 管理者のログインとパスワードを使用して、モニタを作成するデバイス用の Windows 認証情報を作成します。認証情報の設定が完了したら、 をクリックします。
- 認証情報ページで、新規に を選択し、 をクリックします。
- モニタをデバイスに追加します。
- デバイスのリストで、デバイスを見つけます。デバイスをダブルクリックしてそのプロパティを表示し、 をクリックします。
- をクリックします。アクティブモニタウィザードが表示されます。
- ErrorsLogon モニタを選択し、ウィザードに従ってモニタのアクションを設定します。
アクションの設定の詳細については、「アクションの設定」を参照してください。
アクティブモニタにいくつかレベルを作成することを検討します。レベルごとにより高いしきい値を設定し、高いしきい値ではより厳しいアクションをとらせます。
たとえば、しきい値を 30 に設定したモニタを作成し、31 回以上のログイン試行があると E メールで通知するようにします。次に、しきい値を 60 に設定したモニタを作成します。このモニタには 61 回以上のログイン試行があるとテキストメッセージを送信する SMS アクションをとらせることができます。最も厳しいレベルではしきい値を 100 に設定し、攻撃されている間に IP をブロックするか、またはデバイスをネットワークから切り離すことができる関係者にメッセージを送信するアクションをとらせることができます。