何が起きたか #

BASTIONの定期分析レポートに、見慣れない行が出ました。

失敗アカウント: svc-ldap=203, DC-01$=194, SV-01$=24, admin-user=13
ロック対象:     svc-ldap=225, DC-01$=224, SV-01$=33, admin-user=16

問題は admin-user。これは人間のアカウントです。16回ロックアウトされている。心当たりがまったくありません。

Slackで送信元IPを特定 #

BASTIONにはSlackで対話的に分析を指示する機能があります。

原因 #

送信元IPの端末を確認したところ、Windows 11がハングアップした状態でした。

ハングした端末は画面がフリーズしていても、バックグラウンドでADへの認証リクエストを繰り返し送信し続けます。パスワード変更後の古い資格情報がキャッシュされていた場合、毎回認証に失敗し、最終的にアカウントがロックアウトされます。

端末を再起動したところ、ロックアウトは止まりました。

BASTIONはどうやって検知したか #

1. Windowsクライアントのログ収集 #

社内のWindowsクライアントにはNXLog（OSSのログ転送エージェント）がGPO経由で自動展開されています。各端末のイベントログ（Security、System、Application、PowerShell等）がsyslog形式でBASTIONサーバーに転送されます。

BASTIONサーバー側のrsyslogが、ホスト名ごとにディレクトリを自動作成してログを保存します。新しい端末がNXLogでログを送り始めた瞬間に、自動的に監視対象に入ります。端末の手動登録は不要です。

2. 自動機器分類 #

新しいホストが出現すると、BASTIONのLLMがログサンプルを読んで「この機器はWindowsクライアントだ」「これはLinuxサーバーだ」と自動判定します。判定結果に応じて適切な監視テンプレートが自動適用されます。

Windowsクライアントの場合、以下の項目が自動的に監視対象になります。

3. 定期分析で異常値を検出 #

15分ごとの定期分析で、LLMが全ホストの要約を読み、異常値を判定します。今回は「人間アカウントのロックアウト16回」がmedium以上の重大度と判定され、詳細レポートがSlackに自動送信されました。

4. 対話的分析で深掘り #

定期レポートで「admin-user=16回ロック」を見たあと、Slackでメンションするだけで送信元IPの特定まで完了しました。ADのイベントログを手動で漁る必要はありません。

この事例から学んだこと #

まとめ #

BASTIONのWindowsクライアント監視が、自社環境で実際に人間アカウントの異常ロックアウトを検知しました。検知から原因端末の特定まで約5分。やったことは「Slackで1つ質問した」だけです。

原因はハングアップした端末という地味なものでしたが、同じ検知の仕組みが外部からのブルートフォース攻撃にも機能します。送信元IPが社内か社外かで対処が変わるだけで、検知と特定のフローは同じです。