実際の標的型攻撃の事例を基にした「インシデント対応ハンズオン」コンテンツをJPCERT／CCが公開：標的型攻撃を受けたときのWindowsログ調査方法を学べる

JPCERTコーディネーションセンターは、「インシデント対応ハンズオン」のコンテンツをGitHubで公開した。標的型攻撃を受けた際の、Windowsイベントログの調査手法について解説した。

[＠IT]

　JPCERTコーディネーションセンター（JPCERT／CC）は2020年7月28日、「インシデント対応ハンズオン」のコンテンツをGitHubで公開した。

　これは、標的型攻撃を受けた際のセキュリティインシデントの調査手法をまとめたもので、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）が主催する「Internet Week」で実施したハンズオンのコンテンツ。実際の標的型攻撃の事例を基に作成されており、主にWindowsのイベントログの調査手法について解説している。JPCERT／CCは「受講者から高い評価を受け、公開の要望が多かったため、公開を決めた」としている。

「インシデント対応ハンズオン」のコンテンツ（Webページより引用）

「適切に設定すれば、イベントログは有用だ」

　トレーニングはインシデント調査、分析に関わる初級者を対象としている。JPCERT／CCは、このコンテンツを学習することによって以下のような知識を得られるとしている。

• 攻撃者の典型的なネットワーク侵入の手口
• 侵入の痕跡を見つけるために必要なWindowsのログ設定
• Windowsログの調査手順
• ログ調査のポイント
• 「Microsoft Active Directory」のログから攻撃の痕跡を分析する手法の基礎

　標的型攻撃や侵入後のネットワーク内部での攻撃パターンなどについて解説するだけでなく、イベントログやプロキシログ、Microsoft Active Directoryログの抽出と調査などに関する実習もある。

　JPCERT／CCは「Windowsのデフォルト設定では、イベントログにインシデント調査に活用できる情報があまり保存されない。そのためイベントログはインシデント調査時に軽視されがちだ。しかし、適切な設定をしていれば、重要な情報を記録できる。このコンテンツを通して、Windowsイベントログ分析の重要性を理解してほしい」としている。