JPCERT/CC、Windows「Sysmon」ログの解析可視化ツールを開発 - GitHubで公開
JPCERTコーディネーションセンターは、「Windows」の「Sysmon」により出力されたログの解析ツール「SysmonSearch」を開発した。GitHubより入手することができる。
同ソフトウェアは、「Windows Sysinternals」のユーティリティとして提供されている「Sysmon」のログを管理、分析できるツール。「Elastic Stack」と「Kibana Plugin」を活用しており、ログの検索や統計、可視化を行うことができる。
ログで記録されるプロセス、ファイル、レジストリなどの記録を1ノードとして定義。各ノードを関連付けて可視化することが可能。
「IPアドレス」「ポート番号」「ホスト名」「プロセス名」「ファイル名」「レジストリキー」「レジストリ値」「ハッシュ値」による検索に対応しているほか、STIX形式のデータをインポートして検索することもできる。また監視ルールを設定し、保存されたSysmonのログに対して検索し、ログを確認できる機能を用意している。
「SysmonSearch」の画面(画像:JPCERT/CC)
(Security NEXT - 2018/09/11 )
ツイート
PR
関連記事
対AD攻撃や管理者アカウントの乗っ取りを検知するサービス
IDaaSサービスにPWリスト攻撃対策を追加 - Auth0
テレワーク環境のセキュ対策診断サービス - IIJ
CTCと日立システムズ、セキュリティ分野で協業
SIEM新版「ArcSight 2020」、SOARや脅威ハンティングなど機能強化
JPCERT/CC、ログ解析の訓練コンテンツを公開 - 痕跡発見のコツも
ログ管理製品でサイバー攻撃や内部不正の検知を強化 - 網屋
ウェブセキュリティ実務者向けに「徳丸実務試験」 - 2021年4月に開始
脅威の検知や対応を支援する「Infinity SOC」 - チェック・ポイント
マルチクラウドとセキュリティ対策の管理プラットフォーム - TIS
