LoginSignup
1
1

More than 3 years have passed since last update.

@harapeco_nya(nyan eri)

インシデント初期対応に使えるCDIR Collecterについて

Last updated at Posted at 2020-03-25

サイバーディフェンス研究所が開発しているインシデント初期対応でつかえる情報収集ツールです。
本記事ではツールの説明にとどまり、それぞれのログの見方などについては別途記事を書きたいと思います。

CIDRツールとは

インシデントの初期対応で使える情報収集に有用なツールです。

下記のような情報が得られます。
実行すると得られる情報
- メモリ
- MFT
- Change Journal
- イベントログ
- プリフェッチ
- レジストリ

↑の情報をもとにわかること例
- 現状不審な動作が継続しているかどうか  →メモリ情報などから調査
- 今回検知されたファイルの侵入時期  →MFTから
- 検体の実行可否と実行時刻   →プリフェッチから
などなど。。。

使い方

ダウンロードしたフォルダ内のexeを実行するだけ。
具体的な手順は下記の外部サイトを参照のこと。

初動対応用データ保全ツール「CDIR Collector」解説
https://www.atmarkit.co.jp/ait/series/3945/

※実行場所について
端末上で直接実行する、ファイルサーバからリモート実行する、Webサーバから一斉取得するなどのバリエーションがあるようです。
Github上のReadme参照のこと。

入手元

下記Githubよりダウンロード可能
将来的にはLinuxも対象としたいようですが現状はWindows版のみ。
https://github.com/CyberDefenseInstitute/CDIR

注意点

win10だとCDIRからメモリダンプしようとするとブルースクリーンになってしまう可能性がある。
事前に要検証 or メモリダンプは除いて実行すること。

→2020/9/15追記
Windows10のメモリダンプ時にブルースクリーンになってしまう問題について解決方法を下記の記事で紹介。
https://qiita.com/harapeco_nya/items/ea813a05a345d064ac97

以上。

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1