イベントログを可視化して不正使用されたアカウントを調査 ~LogonTracer~(2017-11-28)| JPCERTコーディネーションセンター(JPCERT/CC)セキュリティインシデントの調査においてイベントログの分析は欠かせない作業です。Active Directory(以下、「AD」という。)で管理されたネットワークでは、ADのイベントログを分析することで不正使用されたアカウントや侵入されたホストを知ることができます。イベントログを分析する際、イベントビューアーでは詳細な分析をすることが難しいため、テキスト形式にエクスポートして分析したり、SIEMやログ管理システムにログをインポートして分析したりするのが一般的です。しかし、イベントログは環境によっては膨大になるためどこから分析を始めたらよいか、どこに注目して分析したらよいか分からないという問題があります。 JPCERT/CC では、そのようなイベントログの分析をサポートするツール「LogonTracer」を作成し、公開しました。今回は、この「LogonTracer」の機能や導入方法について紹介
