#概要
vistaにedrを構築する。
構想編。
#EPPとEDR
EPPは、Endpoint Protection Platformでマルウェアを検知し、自動的に駆除したりマルウェアが実行されないようにする機能を提供します。
EDRは、Endpoint Detection and Responseでマルウェアを検知できず感染してしまった場合、攻撃が始まる前に脅威をリアルタイムで検知し原因となっているファイルの削除などの対応法を提供したり、ログを元にマルウェアの侵入経路特定の調査に役立てたりします。
Microsoft Security Essentialsは、EPPと言い切る。
#どこまでやるの
- マルウェアの侵入を検知、
- マルウェアの特定、
- マルウェアの除去、
- マルウェアの振る舞いを時系列で取得する。
#toolは、どうする。
Windows Sysinternalsを利用する。
#Windows Sysinternalsの調査。
| コマンド | 機能 |
|---|---|
| AccessChk | 指定したユーザーやグループが、ファイル・レジストリ キー・サービスに対して持つアクセス権を確認できるコマンドラインツールです。 |
| AccessEnum | ファイル・フォルダー・レジストリキーへのアクセス権を誰が持っているかを調べるためのGUIツールです。 |
| AdExplorer、AdInsight、AdRestore | Active Directory環境の調査等に役立つツールです。 |
| Autologon | 自動ログオンを設定するためのGUIツールです。 |
| Autoruns | システムの起動時に実行されるプログラムのリスト表示、管理するツールでGUI版とコマンドライン版があります。 |
| BgInfo | システムのスペックや、マシンの各種設定情報を壁紙に表示できるツールです。 |
| BlueScreen Screen Saver | Windowsに異常が発生した際に表示されるブルー スクリーン(BSOD)をリアルに再現したスクリーンセーバーです |
| CacheSet | キャッシュサイズの上限と下限を調整し設定するGUIツールです。 |
| ClockRes | システムクロックの精度を表示するコマンドラインツールで、現在の精度を表示します。 |
| Contig | 単一ファイルを対象としたデフラグができるコマンドラインツールです。 |
| Coreinfo | プロセッサの詳細な機能を確認するコマンドラインツールです。 |
| CpuStres | CPUに意図的に負荷を掛けることができるGUIツールです。 |
| Ctrl2cap | 「Caps Lock」キーを「Ctrl」キーに置き換えるデバイスドライバーです。 |
| DebugView | ローカルまたはリモートマシン上のデバッグ出力を監視するためのGUIツールです。 |
| Desktops | 最大で 4つの仮想デスクトップを作成できるツールです。 |
| Disk2vhd | 物理ディスクを仮想ディスクに変換するGUIツールです。 |
| DiskExt | ボリュームのパーティションがどのディスクにあるかや、ディスク上のどこにあるかを表示するコマンドラインツールです。 |
| Diskmon | 物理ディスクへのアクセス状況を表示するGUIツールです。 |
| DiskView | ディスクの断片化状態や、指定したファイルのディスク上の位置を表示するGUIツールです。 |
| DU(Disk Usage ) | フォルダーごとのディスク使用量を表示するコマンドラインツールです。 |
| EFSDump | EFS (Encrypting File System)で暗号化されたファイルやフォルダーの情報を表示するコマンドラインツールです。 |
| FindLinks | ファイルインデックスと、指定されたファイルに存在するハードリンク確認するためのツールです。 |
| Handle | どのプロセスが、何のファイルを開いていいるかを確認できるコマンドラインツールです。 |
| Hex2dec | 16進数と10進数を相互に変換するためのコマンドラインツールです。 |
| Junction | シンボリックリンクを作成するコマンドラインツールです。 |
| LDMDump | LDM(論理ディスクマネージャ)データベースの内容を表示するコマンドラインツールです。 |
| ListDLLs | 現在読み込まれているDLLの情報を一覧表示するコマンドラインツールです。 |
| LiveKd | マイクロソフトのカーネルデバッガを使い、稼働中のシステムを調査するコマンドラインツールです。 |
| LoadOrd | システムに読み込まれているデバイスドライバを一覧表示するツールで、GUI版とコマンドライン版があります。 |
| LogonSessions | システム上で稼働中のログオンセッションを一覧表示するコマンドラインツールです。 |
| MoveFile | 次回起動時に、指定したファイルの移動や削除をスケジュールできるコマンドラインツールです。 |
| NotMyFault | Windowsをさまざまな方法(クラッシュ・ハングアップ・メモリリーク)で意図的に強制終了させて、BSOD(Blue Screen of Death)画面を表示させるツールで、GUI版とコマンドライン版があります。 |
| NTFSInfo | NTFSボリュームのサイズや、MFT(Master File Table)に関する情報を表示するコマンドラインツールです。 |
| PendMoves | 次回起動時に、リネーム/削除が実行される予定のファイルの一覧表示するコマンドラインツールです。 |
| PipeList | システム上の名前付きパイプの最大インスタンス数とアクティブインスタンス数を表示するコマンドラインツールです。 |
| PortMon | シリアルポートとパラレルポートの稼働状況をモニタリングするGUIツールです。 |
| ProcDump | 特定プロセスのダンプファイルを生成したり、特定プロセスを監視して、クラッシュやにハングアップした時に自動的にダンプを生成することができるコマンドラインツールです。 |
| Process Explorer | 稼働中プロセスの詳細情報を取得できるGUIツールです。 |
| Process Monitor | プロセスがアクセスしているファイルやレジストリ、ネットワークに関する情報をモニタリングするGUIツールです。 |
| PsExec | 指定したユーザーで、ローカルやリモートのプロセスを実行できるコマンドラインツールです。 |
| PsFile | リモートから開かれているシステムファイルを表示するコマンドラインツールです。 |
| PsGetSid | 指定したコンピューターやユーザーのSIDを表示するコマンドラインツールです。 |
| PsInfo | ローカルやリモートのシステム情報を表示するコマンドラインツールです。 |
| PsKill | プロセス名やIDを指定して、ローカルやリモートのプロセスを終了させることができるコマンドラインツールです。 |
| PsPing | リモートマシンの特定のTCPポートへの疎通確認や、遅延や帯域を計測するコマンドラインツールです。 |
| PsList | ローカルやリモートで実行中のプロセスやスレッドを表示するコマンドラインツールです。 |
| PsLoggedOn | ローカルやリモートのマシンにログオン中のユーザーを表示するコマンドラインツールです。 |
| PsLogList | ローカルやリモートのイベントログを表示するコマンドラインツールです。 |
| PsPasswd | ローカルやリモートのユーザーのパスワードを変更するコマンドラインツールです。 |
| PsService | ローカルやリモートのサービスの状態を表示したり、サービスを制御するコマンドラインツールです。 |
| PsShutdown | ローカルやリモートのマシンを、シャットダウンしたり再起動するコマンドラインツールです。 |
| PsSuspend | ローカルやリモートのプロセスを一時停止させたり、復帰させたりするコマンドラインツールです。 |
| PsTools | 上記に紹介している「Ps」から始まるツールをまとめたツールセットです。 |
| RAMMap | 物理メモリの使用状況を詳細に分析できるGUIツールです。 |
| RegDelNull | レジストリエディターから削除できないキーを、削除するためのコマンドラインツールです。 |
| Reghide | 特定のレジストリキーを、レジストリエディターなどから開くことができないようする方法を紹介しているコマンドラインツールです。 |
| RegJump | 特定のレジストリパスを開いた状態でレジストリエディターを起動するコマンドラインツールです。 |
| RU(Registry Usage) | 指定されたレジストリキーのレジストリスペース使用量を表示するコマンドラインツールです。 |
| SDelete | 米国防総省の、削除と消去に関する規格「DOD 5220.22-M」を満たした方法で、安全にファイルやフォルダーを削除するコマンドラインツールです。 |
| ShareEnum | ネットワーク上の共有フォルダーの状況を表示するGUIツールです。 |
| ShellRunas | ファイルの右クリックメニューに、プログラムを別のユーザーで実行する機能を追加するツールです。 |
| Sigcheck | 指定したファイルのバージョン情報やデジタル署名などを表示するコマンドラインツールです。 |
| Streams | NTFSの代替データストリーム情報を表示するコマンドラインツールです。 |
| Strings | バイナリファイル内のASCIIまたはUnicode文字を表示するコマンドラインツールです。 |
| Sync | ディスクキャッシュ上のデータを、強制的にフラッシュ ( ディスクへの書き込み ) するコマンドラインツールです。 |
| Sysmon | Windows起動直後からシャットダウンシーケンスの最終段階までの、さまざまなアクティビティをイベントログに記録するツールです。 |
| Testlimit | メモリに意図的に負荷を掛けることができるコマンドラインツールです。 |
| TCPView | ネットワークの接続状況をリアルタイムで確認するGUIツールです。 |
| VMMap | 特定プロセスへの仮想メモリと物理メモリの割り当て状況を表示するGUIツールです。 |
| VolumeId | FAT/NTFSドライブのボリュームラベルを設定するコマンドラインツールです。 |
| Whois | 指定されたドメイン名や IP アドレスの登録者などの情報を、レジストリやレジストラが提供する Whois サーバーへ照会するためのコマンドラインツールです。 |
| WinObj | オブジェクトマネージャの名前空間を表示するGUIツールです。 |
| ZoomIt | デスクトップ画面の拡大表示や、画面への文字や図の書き込みが可能な描画ツールを備えたGUIツールです。 |
#どれを使う。
- 不審な自動起動項目を探す
autoruns - 不審なプロセスを探す
Process Explorer - 不審な通信を探す
tcpview - 時系列で探す
sysmon
#どこにある。
以上。