イベントログフォレンジック
イベントログとは、Windowsにおいて、ユーザーに通知するかログに記録する必要のあるWindowsシステムまたはプログラム上のログです。イベントログ解析とは、Windowsシステムまたはプログラム上で起こったことの
記録を読み解き、何が起きたのかを確認する技術です。
特に標的型攻撃のインシデントレスポンスにおいては、組織内コンピューター間
での不正プログラムや攻撃者の動きが読み取れるため効果的です。
イベントログ取得方法
C:\Windows\System32\winevt\Logs イベントログ取得方法
FTK Imager などで イベントログの取得が可能OSが起動している状態のPCからはイベントログがコピーできない場合があるため FTK Imagerなどのツールを使う
イベントログ解析ツールの説明
Event Log Exploreを使用してイベントのログを見ます。ネットワーク経由のログオン(他端末への侵入)
ネットワーク経由のログオン セキュリティログ
イベントID 4624
ログオンタイプ 3
ネットワーク経由のログオン(他端末への侵入)
RDP経由のログオン セキュリティログ
イベントID 4624
ログオンタイプ
イベントログの削除(攻撃痕跡の削除)
セキュリティログ
イベントID 1102