Help us understand the problem. What is going on with this article?

sysmonログ活用虎の巻 ~情報まとめ~

はじめに

  • sysmonを簡易EDRとして使う記事を作成してから1年以上経過しました。
  • sysmonはその間も拡張を重ねて、2020.08.03時点でVer11まで進化しています(当時はVer9、10あたり)
  • 今後のsysmon活用に関する情報アップデートをこちらに追記していきます
  • リモートワークが前提となり、社内LANを通らない環境が当たり前になってきた場合、エンドポイント上のフライトレコーダーの役割を担うsysmonは必ず調査の助けになると思いますのでご参考ください。

更新履歴

  • 2020.08.03 新規作成
  • 2020.08.18 イベント毎のkey,valueのスクショサンプルを追加
  • 2020.11.20 相関ルールの参照元を追加

新たなsysmon NEWSを知る術!

  • Twitterで以下アカウントをフォローしておく。目が怖い。
    • #SwiftOnSecurity

image.png

sysmonのconfig設定Tips

  • sysmonでFullロギングするとデータ量の割にノイズもおおく調査が困難になるので、sysmon用のconfigを準備します。
    • ↑SplunkのForwarderでは高度なロギングフィルタができないため
  • sysmonロギングのの紹介
    • SwiftOnSecurity
      • まず最初に参考にするならこれ。こちらのベースに対して、追加でinclude/excludeをカスタマイズしていく
    • Olaf - sysmon-modular
      • 次にこちらも参考に。MITER ATT&CKのTTPに基づいた、EventIDごとにconfigを用意してくれているので見やすい
  • v11になったことでconfig内のscheme番号がかわっていますので変更すること。参考までに

    <Sysmon schemaversion="4.3">

EventIDごとのメモ

  • 特にロギングしておきたいEventIDについて説明

Event Code 1: Process creation

  • マストです。不審なプロセス起動の証跡記録ができます
  • CommandLineとParentCommandLineとHashesあたりをよくチェックします。

スクリーンショット 2020-08-18 10.45.15.png

Event Code 3: Network Connection

  • 不審なプロセスが疎通する外部IPと脅威情報(IP Intelligence)の突合調査ができます
  • どのapp(プロセス)がdestipとdestportを使っていたのかチェックします。

スクリーンショット 2020-08-18 10.47.11.png

Event Code 11: File creation

  • プロセスが実行されないものの、ファイル作成されたイベントからhash値やファイル名調査ができます
  • appによって作成されたTargetFilenameが記載されます。

スクリーンショット 2020-08-18 10.50.21.png

Event Codes 12, 13, 14: Registry key creation, deletion, and modification

  • 不正プログラムによるレジストリ改変の兆候を記録します
  • appがTargetObjectに対してどんなアクション(signature)を実施したかチェックします。

スクリーンショット 2020-08-18 11.03.38.png

Event Code 15: Alternate Data Stream creation

  • インターネットからダウンロードされた不審ファイル(特に.bat、.vbs、.ps1、.cmdなどを含むファイル)の監視します
  • appがダウンロードしたファイル(TargetFilename)をチェック

スクリーンショット 2020-08-18 11.19.37.png

Event Codes 17 and 18: Pipe creation and connection

スクリーンショット 2020-08-18 12.16.50.png

Event Codes 19, 20, and 21: WMI

Event ID 22: DNSEvent (DNS query)

  • 不審なプロセスが名前解決を行う外部ドメインと脅威情報(Domain Intelligence)の突合調査ができます
  • QueryResultsがある時、QueryStatus=0になっている模様。なので名前解決に成功した場合がStatus=0になると理解しています。

スクリーンショット 2020-08-18 12.22.18.png

Event ID 23: FileDelete (A file delete was detected)

sysmonログを活用した分析ルールの参考

Splunk Security Essentials

Splunkmon — Taking Sysmon to the Next Level

その他情報ソース

odorusatoshi
Splunkを中心に①ログの収集方法、②ログの分析方法の学びを紹介していきたいと思います
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away