Sysmonãƒã‚°ã‚’å¯è¦–化ã—ã¦ç«¯æœ«ã®ä¸å¯©ãªæŒ™å‹•ã‚’調査~SysmonSearch~(2018-09-06) - JPCERTコーディãƒãƒ¼ã‚·ãƒ§ãƒ³ã‚»ãƒ³ã‚¿ãƒ¼ï¼ˆJPCERT/CC)JPCERT/CCã§ã¯ãƒžãƒ«ã‚¦ã‚¨ã‚¢ã«æ„ŸæŸ“ã—ãŸç«¯æœ«ã‚’起点ã¨ã—ã¦ã€ä»–ã®ç«¯æœ«ã¸ã®æ„ŸæŸ“拡大やサーãƒãƒ¼ã¸ã®ä¾µå…¥ãªã©å†…部ã®ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯å†…ã«ä¾µå®³ãŒæ‹¡å¤§ã™ã‚‹äº‹ä¾‹ã‚’多ã確èªã—ã¦ã„ã¾ã™ã€‚侵害をå—ã‘ãŸç«¯æœ«ã®èª¿æŸ»ã«ã¯ã€å‹•ä½œã—ãŸã‚¢ãƒ—リケーションや通信ãªã©ã®è©³ç´°ãªãƒã‚°ã‚’æ—¥é ƒã‹ã‚‰å–å¾—ã—ã¦ãŠãã“ã¨ãŒæœ›ã¾ã‚Œã¾ã™ã€‚ã“ã®ã‚ˆã†ãªç”¨é€”ã«ä½¿ç”¨ã§ãるツールã¨ã—ã¦ãƒžã‚¤ã‚¯ãƒã‚½ãƒ•ãƒˆç¤¾ãŒæä¾›ã—ã¦ã„ã‚‹Sysmon[1]ã¨ã„ã†ãƒ„ールãŒã‚ã‚Šã¾ã™ã€‚Sysmonã¯ã€ç«¯æœ«ä¸Šã§å‹•ä½œã—ãŸã‚¢ãƒ—リケーションã®æƒ…å ±ã‚„ãƒ¬ã‚¸ã‚¹ãƒˆãƒªã‚¨ãƒ³ãƒˆãƒªã®ä½œæˆã€é€šä¿¡ãªã©Windows OSã®æ§˜ã€…ãªå‹•ä½œã‚’イベントãƒã‚°ã«è¨˜éŒ²ã™ã‚‹ãƒ„ールã§ã™ã€‚ã“ã®Sysmonã®ãƒã‚°ã‚’調査ã™ã‚‹æœ€ã‚‚一般的ãªæ–¹æ³•ã¯ã€ã‚¤ãƒ™ãƒ³ãƒˆãƒã‚°ã‚’テã‚ストãªã©ã®å½¢å¼ã«å¤‰æ›ã—検索ã™ã‚‹æ–¹æ³•ã§ã™ãŒã€ã“ã®æ–¹æ³•ã§ã¯å¤šæ•°ã®ç«¯æœ«ã‚’åŒæ™‚ã«èª¿æŸ»ã™ã‚‹ã“ã¨ã¯å›°é›£ã§ã™ã€‚ ãã“ã§JPCERT/CCã§ã¯Sysmonã®ãƒã‚°ã‚’一元管ç†ã—ã€ãƒã‚°åˆ†æžã‚’迅速ã‹ã¤ã‚ˆã‚Šæ£ç¢º
{{#tags}}- {{label}}
{{/tags}}