はてなブックマーク

はじめに 前回に続きまして「標的型攻撃に対するJPCERT/CCのおすすめログ設定をElasticsearchで構築してみる」のエンドポイントログ編です。Windows PC上に無償で利用可能なWinlogbeatとSysmonをインストールし、Windowsの動作ログをElasticsearchで収集および蓄積します。 JPCERT/CCではエンドポイントログの採取、分析および可視化についてもツールを無償で提供するなど推奨しています。本記事で構築するログ解析基盤ではこのツールそのものは利用しませんが、Windows PC上へ導入するSysmonとWinlogbeatに同様の設定を行います。 インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (2017-12-05 - JPCERT/CC) SysmonSearchを用いて不審な挙動を調査 (2019/01/21 - JPC