Help us understand the problem. What is going on with this article?

Splunkと一緒に。簡易EDRツールとしてのsysmonの真価に迫る ~その3: 活用編~

活用編(検知ルールの設定 & 調査ダッシュボードの作成)

  • 前々回の概要編はこちら
  • 前回の導入編はこちら
  • まずはSecurity EssentialからEDRログソース用の検知ルールを設定し、アラート発砲
  • 検知後は、sysmonログを使った調査ダッシュボードを活用します

検知ルール(サーチ条件)の設定

  • 今回、sysmon活用の検知ルールとしてこちらの記事のSecurity Essentailルール(異常に長いCLIコマンドの検索)を利用しますので下記参考の上、設定してみてください
  • (本来であれば擬似的な攻撃ツールの利用方法を元に検知するのが望ましいですが、手法を載せるのは昨今の情勢上難しいため、ごめんなさい)

sysmonログを使った調査ダッシュボードを活用

  • アラートを受け取ったら、「原因調査」と「影響範囲の確認」ダッシュボードを用意しましょう
  • 少しでもビジュアライズをよくして見やすくするために以下Appをインストールします。
  • 参考ダッシュボードxmlはこちらにて公開

設定手順

  • xmlソースをまるごとコピーしてもらい、新しいダッシュボードを作成
    スクリーンショット 2019-06-07 14.18.36.png

  • 任意の名前を入力し、ダッシュボードの作成
    スクリーンショット 2019-06-07 14.19.49.png

  • xmlソースまるごと貼り付けて保存。
    Jun-07-2019 14-24-02.gif

ダッシュボードの使い方(TIPS)

  • アラートメールを受け取ったら、ダッシュボードを開く。
    スクリーンショット 2019-06-07 15.12.54.png

  • 時間ホストプロセス名をセットしてEnter

    • 期間は、アラート発生前の数時間プロセス名は部分一致でいいので必ずセット。でないと検索が遅くなります。

スクリーンショット 2019-06-07 14.49.22.png

「sysmon相関図v2」の使い方

  • ボタンを押してもドリルダウンサーチはしません。俯瞰的にプロセスの親子関係、通信先を確認します。

スクリーンショット 2019-06-07 14.52.38.png

  • この例の場合
    • 親プロセスがwscript.exeで子プロセスがpowershell.exe
    • poweshell.exeが接続に行った通信先が192.168.246.xxxとfe80:~の3つであることがわかります

「不審なプロセスID(ProcessId)をクリック」の使い方

  • 左のパネルのProcessIdをクリックすると右のパネルに共通PIDを含む親プロセスが表示されます
    Jun-07-2019 14-58-22.gif

  • この例の場合、打ち合わせ議事録.vbsをクリックしたことがきっかけであることがわかります。

「Sysmonログによる影響範囲調査」の使い方

  • powershellを含むプロセスが他にどのような操作を行っていたか表示するパネルです。
    スクリーンショット 2019-06-07 15.01.11.png

  • この例の場合、powershell実行の後に、systeminfoやtaskの作成などの横展開活動を行うコマンドが記録されていることがわかります。

  • ↓やや見にくくて恐縮ですが、同パネルを⇢にずーっとスライドしていくと、親プロセスも対となって記録されています。
    スクリーンショット 2019-06-07 15.04.04.png

まとめ

  • sysmonを収集していると、不審なプロセスを検知し、プロセスの発生原因を特定できるケースがある
    • 攻撃の手口の複雑さによっては、ここまでわかりやすく見えないケースも多々あると思います。
  • とはいえ、専門EDR製品を買えない場合は無償のsysmonログをとっておくだけでも原因調査、影響調査に有効です。

おまけのTIPS集

  • ダッシュボードパネル内のSPLにて環境依存で沢山でるプロセスがあればノイズフィルタすることを推奨します
NOT process=*amazon*exe NOT process=hogehoge.exe 
  • 転送されるトラフィックやデータサイズは?
    • 1台のPCあたり5-10MB/dayです。世界では40万PCから収集しているユーザーもいるので、エンドポイントに大量のUFを配る方法や転送トラフィックの圧縮などいろいろなTIPSがありますが、詳しくはまたの機会に。
  • sysmon以外にもwindowsから追加でログ収集したくなった
    • 一度UFをPCに配っている人は、あとからいつでもログ収集の対象を増やすことが簡単です。powershell operationのログなども追加取得を推奨します。
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away