JPCERT/CC、WindowsのSysmonログを可視化して端末の不審な挙動を調査する「SysmonSearch」を公開
2018年9月17日(月)
JPCERT/CCは9月6日、WindowsのSysmonログを可視化して端末の不審な挙動を調査する「SysmonSearch」を公開した。サイバー攻撃を受けたときなどに、複数の端末のログを一元的に管理し、分析することができる。
「Sysmon」は、端末上で動作したアプリケーションの情報やレジストリエントリの作成、通信などWindows OSの様々な動作をイベントログに記録するツール。Sysmonのログを調査する最も一般的な方法は、イベントログをテキストなどの形式に変換し検索する方法だったが、この方法では多数の端末を同時に調査することは難しい。
「SysmonSearch」では、Sysmonが収集したログに記録されるプロセスやファイル、レジストリなどの記録を1つのノードとして定義する。データを表示する際には、これらのノードを関連付けて可視化する。このように表現することで、各ノードの関係性を容易に確認できる。各ノードのアイコンはSysmonが記録するイベントID毎に用意してあり、視覚的にわかりやすくなっている。ログの検索では、日時やIPアドレス、ポート番号、ホスト名、プロセス名、ファイル名、レジストリキー、レジストリ値、ハッシュ値をキーとして利用できる。
さらに、通信やプロセス、レジストリ関連イベントの統計を取り、端末ごとに結果を確認することも可能で、監視機能では確認できないイベントを見つけるのに役立つ。
SysmonSearchは、GitHubからダウンロードできる。
(川原 龍人/びぎねっと)
[関連リンク]
リリースアナウンス
その他のニュース
- 2024/11/22 「Rocky Linux 9.5」リリース
- 2024/11/21 Arch Linuxのメニューベースのインストーラ「archinstall 3.0」リリース
- 2024/11/21 「LibreOffice 24.8.3 Community」リリース
- 2024/11/21 Fortinet、悪意のあるMicrosoft Excelドキュメントを利用したフィッシングキャンペーンについて注意喚起を発表
- 2024/11/19 「AlmaLinux OS 9.5」リリース
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
全文検索エンジンによるおすすめ記事
- ネットワークプロトコルアナライザ「Wireshark 2.6.5」リリース
- ネットワークプロトコルアナライザ「Wireshark 3.0.7/2.6.13」リリース
- ネットワークプロトコルアナライザ「Wireshark 2.6.4/2.4.10」リリース
- ネットワークプロトコルアナライザ「Wireshark 2.4.1/2.2.9/2.0.15」リリース
- ネットワークプロトコルアナライザ「Wireshark 2.6.2/2.4.8/2.2.16」リリース
- ネットワークプロトコルアナライザ「Wireshark 2.4.2」リリース
- ネットワークプロトコルアナライザ「Wireshark 2.0.1/1.12.9」リリース
- ネットワークプロトコルアナライザ「Wireshark 3.2.2/3.0.9/2.6.15」リリース
- ネットワークプロトコルアナライザ「Wireshark 3.4.6/3.2.14」リリース
- ネットワークプロトコルアナライザ「Wireshark 3.4.7/3.2.15」リリース