有事における役割 1.検知・分析/インシデントの初期調査(3) 18 • Critical Log Review Checklist for Security Incidents https://zeltser.com/security-incident-log-review-checklist/ • Excessive access attempts to non-existent files (存在しないファイル) • Code (SQL, HTML) seen as part of the URL (URLに埋め込まれたコード) • Access to extensions you have not implemented (実装していない拡張機能へのアクセス) • Web service stopped/started/failed messages (Webサービスの停止、開始、エラー) • Access to “risky” pages that accept user input (ユーザ入力を処理する危険なページ) • Look at logs on all servers in the load balancer pool (ロードバランサ内の全てを対象) • Error code 200 on files that are not yours (エラーコード200) • Failed user authentication (認証失敗:エラーコード401、403) • Error code 401, 403 • Invalid request (無効なリクエスト:エラーコード400) • Error code 400 • Internal server error (サーバエラー:エラーコード500) • Error code 500