JPCERT/CC、WindowsのSysmonログを可視化して端末の不審な挙動を調査する「SysmonSearch」を公開

2018年9月17日(月)

JPCERT/CCは9月6日、WindowsのSysmonログを可視化して端末の不審な挙動を調査する「SysmonSearch」を公開した。サイバー攻撃を受けたときなどに、複数の端末のログを一元的に管理し、分析することができる。

 「Sysmon」は、端末上で動作したアプリケーションの情報やレジストリエントリの作成、通信などWindows OSの様々な動作をイベントログに記録するツール。Sysmonのログを調査する最も一般的な方法は、イベントログをテキストなどの形式に変換し検索する方法だったが、この方法では多数の端末を同時に調査することは難しい。

 「SysmonSearch」では、Sysmonが収集したログに記録されるプロセスやファイル、レジストリなどの記録を1つのノードとして定義する。データを表示する際には、これらのノードを関連付けて可視化する。このように表現することで、各ノードの関係性を容易に確認できる。各ノードのアイコンはSysmonが記録するイベントID毎に用意してあり、視覚的にわかりやすくなっている。ログの検索では、日時やIPアドレス、ポート番号、ホスト名、プロセス名、ファイル名、レジストリキー、レジストリ値、ハッシュ値をキーとして利用できる。

 さらに、通信やプロセス、レジストリ関連イベントの統計を取り、端末ごとに結果を確認することも可能で、監視機能では確認できないイベントを見つけるのに役立つ。

SysmonSearchは、GitHubからダウンロードできる。

(川原 龍人/びぎねっと)

[関連リンク]
リリースアナウンス

※本ニュース記事はびぎねっとITニュースから提供を受けて配信しています。
転載元はこちらをご覧ください。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る