プログラムの通信履歴を残す - @port139 Blog

皆さんの組織では、マルウェア感染したWindows PCが（組織内の）何処と通信したか？、を追跡できるログを取っていますでしょうか？ 先日のプログラム実行履歴についてTwitterで呟いたところ「次のトピックはSysmonですねｗ」と Haruyama さんから突っ込みをいただいたので、Sysmon を利用したプログラムの通信履歴保存についてです（笑） プログラムの実行履歴はWindowsの監査機能を利用する事でセキュリティログに記録する事ができますが、プログラムが何処と通信したかは記録されていません。 いわゆる標的型攻撃、APT攻撃と呼ばれる攻撃では、マルウェア感染した機器を踏み台として、組織内の広い範囲への侵入や情報の搾取が行われます。 この為、被害範囲が広がっているのかを確認するには、マルウェア感染した端末が、何処と通信を行っていたのか？が重要な手がかりになります。 プログラムが何処

[TsuSUZUKI]

cf. https://technet.microsoft.com/en-us/sysinternals/dn798348.aspx