JPCERT/CC、Windows「Sysmon」ログの解析可視化ツールを開発 - GitHubで公開

JPCERTコーディネーションセンターは、「Windows」の「Sysmon」により出力されたログの解析ツール「SysmonSearch」を開発した。GitHubより入手することができる。

同ソフトウェアは、「Windows Sysinternals」のユーティリティとして提供されている「Sysmon」のログを管理、分析できるツール。「Elastic Stack」と「Kibana Plugin」を活用しており、ログの検索や統計、可視化を行うことができる。

ログで記録されるプロセス、ファイル、レジストリなどの記録を1ノードとして定義。各ノードを関連付けて可視化することが可能。

「IPアドレス」「ポート番号」「ホスト名」「プロセス名」「ファイル名」「レジストリキー」「レジストリ値」「ハッシュ値」による検索に対応しているほか、STIX形式のデータをインポートして検索することもできる。また監視ルールを設定し、保存されたSysmonのログに対して検索し、ログを確認できる機能を用意している。

「SysmonSearch」の画面（画像：JPCERT/CC）

（Security NEXT - 2018/09/11 ） ツイート

PR

関連記事

「WarpDrive」の学習機能を刷新、3000問以上収録 - NICT
パッチや緩和策の適用、メモリ保護を統合した脆弱性対策製品
文字列関数のバグを自動修正する技術 - NTTと早大が共同開発
問題の難易度のみに依存しない「kCAPTCHA」を開発 - KDDI
事前対策や監視を組み合わせた「ランサムウェア対応支援サービス」
標的型攻撃メール訓練サービスに「サポート詐欺」対策など追加
より柔軟なサービスが可能となるMSSP向けプログラムを開始 - Vectra AI
GMO-PG、多要素認証による本人確認サービスを開始
ウェブ狙う攻撃の痕跡を検出するログ解析サービス - ビットフォレスト
NASにランサム感染想定した機能などを追加 - バッファロー