Sysmonログを可視化して端末の不審な挙動を調査~SysmonSearch~(2018-09-06) - JPCERTコーディネーションセンター（JPCERT/CC）

JPCERT/CCではマルウエアに感染した端末を起点として、他の端末への感染拡大やサーバーへの侵入など内部のネットワーク内に侵害が拡大する事例を多く確認しています。侵害を受けた端末の調査には、動作したアプリケーションや通信などの詳細なログを日頃から取得しておくことが望まれます。このような用途に使用できるツールとしてマイクロソフト社が提供しているSysmon[1]というツールがあります。Sysmonは、端末上で動作したアプリケーションの情報やレジストリエントリの作成、通信などWindows OSの様々な動作をイベントログに記録するツールです。このSysmonのログを調査する最も一般的な方法は、イベントログをテキストなどの形式に変換し検索する方法ですが、この方法では多数の端末を同時に調査することは困難です。 そこでJPCERT/CCではSysmonのログを一元管理し、ログ分析を迅速かつより正確

[TsuSUZUKI]

cf. https://github.com/JPCERTCC/SysmonSearch

[braitom]

MicrosoftのSysmonで取得したWindows OSのログをWinlogbeat、Elasticsearch、Kibanaを使って収集、可視化する仕組みについて。