sysmonについて
- マイクロソフト社が無償提供しているツール
- 端末上で動作したアプリケーションの情報やレジストリエントリの作成、通信などWindows OSの様々な動作をイベントログに記録するツール
- JPCERT/CCもwindows端末内の不審な挙動をとらえるためのツールとしてsysmonを紹介
- 海外のRSAコンファレンス等でもエンドポイントのセキィリティログ分析用途での活用として紹介されている
何が嬉しいのか?
Windows端末がバックドアなどの不正プログラムに侵害された際に「不審なプロセスを早期発見」または「何が原因で感染したのか?」「どこまでの影響範囲があったのか?」
とセキュリティインシデントの現場に役に立つことがあります。
「不審なプロセスを早期発見」
- powershellを用いた攻撃(encodeされた長過ぎるCommandLine)の検知ができる
「何が原因で感染したのか?」
Force Directed App For Splunkを利用することで、視覚的にプロセスの親子関係を可視化ができる
プロセスIDをキーにして親プロセスを特定
「どこまでの影響範囲があったのか?」
- 悪性のプロセスが他にどのようなプロセスを起動したか確認
How to Setup! (次回に続く)
というわけで上記に紹介した検知ルールの設定やダッシュボードの作成方法を次の回で紹介していきたいと思います。