サイバーディフェンス研究所が開発しているインシデント初期対応でつかえる情報収集ツールです。
本記事ではツールの説明にとどまり、それぞれのログの見方などについては別途記事を書きたいと思います。
#CIDRツールとは
インシデントの初期対応で使える情報収集に有用なツールです。
下記のような情報が得られます。
実行すると得られる情報
- メモリ
- MFT
- Change Journal
- イベントログ
- プリフェッチ
- レジストリ
↑の情報をもとにわかること例
- 現状不審な動作が継続しているかどうか →メモリ情報などから調査
- 今回検知されたファイルの侵入時期 →MFTから
- 検体の実行可否と実行時刻 →プリフェッチから
などなど。。。
#使い方
ダウンロードしたフォルダ内のexeを実行するだけ。
具体的な手順は下記の外部サイトを参照のこと。
初動対応用データ保全ツール「CDIR Collector」解説
https://www.atmarkit.co.jp/ait/series/3945/
※実行場所について
端末上で直接実行する、ファイルサーバからリモート実行する、Webサーバから一斉取得するなどのバリエーションがあるようです。
Github上のReadme参照のこと。
#入手元
下記Githubよりダウンロード可能
将来的にはLinuxも対象としたいようですが現状はWindows版のみ。
https://github.com/CyberDefenseInstitute/CDIR
#注意点
win10だとCDIRからメモリダンプしようとするとブルースクリーンになってしまう可能性がある。
事前に要検証 or メモリダンプは除いて実行すること。
→2020/9/15追記
Windows10のメモリダンプ時にブルースクリーンになってしまう問題について解決方法を下記の記事で紹介。
https://qiita.com/harapeco_nya/items/ea813a05a345d064ac97
以上。