侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの調査 - JPCERT/CC Eyes

2024/09/26 17 users セキュリティインシデント JPCERT VPN機器 ご存じ

侵入型ランサムウェア攻撃の被害発生時の初動対応で難しいのは、侵入経路の特定です。昨今のセキュリティインシデントの傾向からVPN機器の脆弱性が悪用される可能性が高いことはご存じのとおりかと思いますが、被害発生時に想定される侵入経路は複数あることが多いため、調査に時間を費やしてしまうことが多々あります。... 続きを読む

Windowsイベントログを利用したファイルレスマルウェアの手法が観測される

2022/05/10 15 users ファイルレスマルウェア シェルコード 手法 Malware

セキュリティ企業・カスペルスキーの研究者が、Windowsのイベントログ内にシェルコードを隠すことで感染経緯をこれまでよりもわかりにくくする手法が用いられていることを初めて観測しました。 A new secret stash for “fileless” malware | Securelist https://securelist.com/a-new-secret-stash-for-fileless-malware... 続きを読む

Windowsイベントログ解析ツール「Hayabusa」を使ってみる - itiblog

2021/12/31 439 users HAYABUSA インシデント ルール ツール 事前

こんにちは、いちび( @itiB_S144 )です。 2021年12月25日にWindowsイベントログ解析ツールとして「Hayabusa」がリリースされました🎉 Hayabusaは事前に作成したルールに則ってWindowsイベントログを調査し、インシデントや何かしらのイベントが発生していないか高速に検知することができるツールです。 私も開発を微力な... 続きを読む

ASCII.jp：Windowsの再起動とその原因をイベントログから探る (1/3)｜Windows Info

2020/01/02 19 users イベントログ PowerShell カーネル シャットダウン

今回は、イベントログからWindows Updateによる再起動時間を計測するために必要な情報を集めることにして、イベントログシリーズの最後としたい。 シャットダウンと再起動に関しては、前回解説したように（「WindowsイベントログをPowerShellを用いて扱う」）、PowerShellのGet-WinEventで、カーネルからのメッセージを... 続きを読む

ASCII.jp：Windowsで発生したことを確認できるWindowsイベントログを解説する (1/2)｜Windows Info

2019/12/15 8 users イベントログ Windows ASCII.jp あたり 複数

Windowsにはイベントログと呼ばれる機能がある。これは、システムやアプリケーションなどが、発生したイベントを記録し、後でのメンテナンスなどに利用するものだ。管理ツールにあるイベントビューアーでも簡単には見ることができる。今回は、このあたりを解説する。 目的としては、Windows内で発生した複数のプログラム... 続きを読む

WinlogbeatでWindowsのイベントログをFluentdサーバに転送する - 本日も乙

2019/02/09 31 users イベントログ toc 要件 監査ログ Windows

[toc] Windowsイベントログを収集する目的 監査ポリシーを設定することでWindows内で何が起こっているのかを詳細にイベントログに残すことができます。セキュリティの要件としてこのログを監査ログとして収集し、誰にも改ざんされないように保全する仕組みを構築する必要がありました。 監査ポリシーの設定方法は次回の... 続きを読む

Windowsのイベントログ（Security）を見る①　～Microsoft Message Analyzerのススメ～ - サイバーセキュリティはじめました

2018/07/02 44 users イベントログ security サイバーセキュリティ 見方

先日、にゃん☆たくさん（@taku888infinity）のブログでWindowsイベントログの見方について記載がありました。 mkt-eva.hateblo.jp 私もたまにWindowsのイベントログを見ることがありますが、「イベントログの見方」について紹介されているサイトが非常に少ないため、とても助かりました。 で、私も公開しておいたほうが... 続きを読む