検索
ニュース

Windowsのログ管理ツールをJPCERT/CCが公開、サイバー攻撃の挙動調査に役立つWindows用ツールを分かりやすくする

JPCERT/CCは、Windowsのログ収集ツール「Sysmon」のログを管理、分析するツール「SysmonSearch」を公開した。複数のWindows端末のログを一元管理でき、監視ルールに基づいて定期的に検索する機能も備える。

Share
Tweet
LINE
Hatena

 JPCERTコーディネーションセンター(以下、JPCERT/CC)は2018年9月6日、Microsoftが提供するWindowsのログ収集ツール「Sysmon」が出力するログを管理、分析するツール「SysmonSearch」を公開した。サイバー攻撃を受けたときなどに、複数の端末のログを一元的に管理し、分析できる。GitHubからダウンロード可能だ。

 Sysmonは端末上で動作したアプリケーションの情報やレジストリエントリの作成、通信などWindowsの動作をイベントログに記録するツール。有用なツールだが、端末の数が増えると調査に手間がかかる。そこで、複数の端末からSysmonのログを収集蓄積した後、「検索」「統計化」「可視化」ができるSysmonSearchが役立つという。

記録をノードとして表示、ノードごとの関係が分かりやすい

 SysmonSearchでは、Sysmonが収集したログに記録されるプロセスやファイル、レジストリといった記録を1つの「ノード」として定義する。データを表示する際には、これらのノードを関連付けて可視化する。これにより、例えばあるプロセスがファイルを作成したことや、別のプロセスとネットワーク通信していることなどが確認できる。


SysmonSerchでSysmonのログを可視化した結果 ノードを円形のアイコンで表し、そのノードが起こしたイベントを9種類のアイコンで表示する(出典:JPCERT/CC

 ログの検索では、日時やIPアドレス、ポート番号、ホスト名、プロセス名、ファイル名、レジストリキー、レジストリ値、ハッシュ値をキーとして利用できる。

 例えば、マルウェアを発見した際に、その通信先IPアドレスや使用しているポート番号を確認できれば、これらの条件を使って、他の端末のログを検索し、感染が拡大しているかどうかなどを確認できる。IoC(Indicator of Compromise)やSTIX(Structured Threat Information eXpression)形式のデータを取り込んで検索することも可能だ。あらかじめ定めた監視ルールに基づいてログを定期的に検索する機能も備える。監視ルールは、検索機能を使って作成できる。

 さらに、ネットワーク通信やプロセス、レジストリ関連イベントの統計を取り、端末ごとに結果を確認することもできる。監視機能では確認できないイベントを見つけるのに役立つ。


全端末の統計情報を表示(出典:JPCERT/CC

 なおSysmonSearchは、オープンソースのログ管理プラットフォーム「Elastic Stack」を利用して実装されている。具体的には、Elastic Stackの検索、分析エンジン「Elasticsearch」と、Elastic Stackのデータ可視化ツール「Kibana」の2つのモジュールから成る。


SysmonSearchの内部構造(出典:JPCERT/CC

 Elasticsearchは、Sysmonのログを収集し、蓄積する。Kibanaは、ログ解析のユーザーインタフェース部分を担い、ログの検索や統計、可視化といった分析機能を提供する。SysmonSearchに特化した機能は、KibanaのプラグインとしてJPCERT/CCが独自に実装した。

 IoCやSTIX形式のデータを取り込むには、これらのファイルを取り込むWebユーザーインタフェースを提供するモジュール「StixIoC server」を利用する。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  6. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  7. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  8. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  9. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  10. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
ページトップに戻る