タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
こんにちは、いちび( @itiB_S144 )です。 2021年12月25日にWindowsイベントログ解析ツールとして「Hayabusa」がリリースされました🎉 Hayabusaは事前に作成したルールに則ってWindowsイベントログを調査し、インシデントや何かしらのイベントが発生していないか高速に検知することができるツールです。 私も開発を微力ながらお手伝いさせていただきました。 本記事では多くの方にHayabusaを触っていただきたいため、簡単な使い方を紹介していきます。 We just released two Windows event log analysis tools: Hayabusa and WELA: https://t.co/nFHxSgUl2q #yamasec— Yamato Security Tools (@SecurityYamato) 2021年12月2
今回は、イベントログからWindows Updateによる再起動時間を計測するために必要な情報を集めることにして、イベントログシリーズの最後としたい。 シャットダウンと再起動に関しては、前回解説したように(「WindowsイベントログをPowerShellを用いて扱う」)、PowerShellのGet-WinEventで、カーネルからのメッセージを見ればよかった。しかし、これだけだと再起動の理由が不明だ。また、現在のWindows 10でもいきなり落ちてしまうことは年に数回ある。こうしたシャットダウンの原因を探さないと、Windows Updateによる再起動を区別できない。 正式な機能アップデートのログが取れなかったので、Windows Insider Previewのインストールにかかる時間を測定した。プレビュー版のアップデートに約25分、その後、再起動が要求されて、3回の再起動を経て
Windowsにはイベントログと呼ばれる機能がある。これは、システムやアプリケーションなどが、発生したイベントを記録し、後でのメンテナンスなどに利用するものだ。管理ツールにあるイベントビューアーでも簡単には見ることができる。今回は、このあたりを解説する。 目的としては、Windows内で発生した複数のプログラムが関わる特定の作業の経過などを取り出し、その経過を追えるようにする。筆者は、Windowsの機能アップデートに関しての情報を収集したいと思って調べ始めた。 イベントログは、Windows内で発生したさまざまなイベントを記録したもの。この中には再起動やアップデートのインストールなどさまざまな情報がある そもそもWindowsのイベントログとは Windowsのイベントログは、現在では、EVTX形式のファイルに記録され、 C:\Windows\System32\winevt\Logs と
前回(「Windowsで発生したことを確認できるWindowsイベントログを解説する」)、Windows Terminalの機能確定版が出た場合はそちらを紹介予定と記したが、12月17日にWindows Terminalの1912版が出るかと思いきや、17日になって12月31日に延期された。クリスマス休暇に入っちゃったのかと思ったが、いまだに開発は進行しているようである。まあ開発には計画変更が付きものなので、ゆっくりと待つことにしよう。今年はまだ1週間以上残されている。 githubのWindows Terminalの進行状況を示すページ。12月版のWindows Terminal(Terminal-1912)は、いまのところ50%の完成率。いまだ作業は進行しているようだ さて、今回は前回の続きで、Windowsのイベントログを扱う。PowerShellを使って、実際に記録されているログか
Kaspersky Labは5月4日(米国時間)、「A new secret stash for “fileless” malware|Securelist」において、シェルコードをWindowsのイベントログに格納する手法がサイバー攻撃で用いられていることを初めて観測したと伝えた。サイバー犯罪者はこの手法を使ってトロイの木馬をファイルシステム内に目立たないように隠すことができると分析されている。 A new secret stash for “fileless” malware|Securelist Kaspersky Labは今回分析したキャンペーンに関して、イベントログにシェルコードを記録するというテクニックを最も革新的な部分と分析している。また、この部分のみならず、今回分析したキャンペーンでは少なくとも2つの商用プロダクトが悪用され、さらに最終段階において数種類の遠隔操作型トロイの
セキュリティ企業・カスペルスキーの研究者が、Windowsのイベントログ内にシェルコードを隠すことで感染経緯をこれまでよりもわかりにくくする手法が用いられていることを初めて観測しました。 A new secret stash for “fileless” malware | Securelist https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/ In February 2022 we observed the technique of putting the shellcode into Windows event logs for the first time “in the wild” during the malicious campaign. It allows the “fileless”
小規模CSIRT向けWindowsイベントログで押さえておくこと | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
こんにちは、ディフェンシブセキュリティ部の岩崎です。 本記事では、ログ全般に関わることの情報、インシデントレスポンスにおいて参照されることが多いイベントログに焦点を当て、情報システム部(情シス)の方、これからログ分析や管理を始める方、初めてCSIRTに所属された(CSIRT入門レベル)の方向けに、イベントログを見るための情報であったり、学習するための素材を紹介します。 ログとは セキュリティ業界にいらっしゃる方や、別の業界の方でもCSIRTに所属し運用している方は、よく目にするものかと思います。 ログとは(今更ですが、)PCおよびサーバなどで作成され、アプリケーション、OS、サービスが処理内容、警告などの履歴を逐一記録し、障害発生時や開発時(デバッグ)などに参照できるようにするため作成するためのものです。 参考ページ(Wikipedia -ログ ) ログ取得・管理目的 ログは何のために取得
JPCERT/CCがイベントログ分析支援ツール「LogonTracer v1.5.0」を公開:イベントログのリアルタイム分析が可能に JPCERT/CCは、イベントログ分析支援ツール「LogonTracer v1.5.0」を公開した。「Elasticsearch」と連携させることでイベントログのリアルタイム分析が可能になった。
NECサイバーセキュリティ戦略統括部 セキュリティ技術センターの松本です。今回はWindowsイベントログの解析ツールであるChainsaw[1][2]をご紹介します。また私自身のインシデント対応の経験を踏まえて、どのように役立つツールなのか、見解も交えてご説明します。 Chainsawはインシデントの初動対応を想定して開発されたツールです。Windowsイベントログから脅威を特定します。 Windowsイベントログ[3]とは、アプリケーションやOS、システムサービスに関する重要なイベントが記録されるログ情報のことです。サイバー攻撃の被害にあった端末のOSがWindowsであった場合に、攻撃の痕跡を探すための情報のひとつとして活用できます。 WindowsイベントログはWindowsに標準搭載されているイベントビューアーから確認できます。下の画像は、筆者のWindows10の仮想マシン上で
みなさん、こんにちは! AWS事業本部の青柳@福岡オフィスです。 今回は、監視サービス Mackerel でWindowsサーバーを監視する際のトピックをお送りします。 Windowsのイベントログを監視したい! 最近「Mackerelを使ってWindowsのイベントログを監視したい」という要件があり、方法を調べるためにMackerel公式サイトを検索したところ、ヘルプサイトには情報がありませんでしたが、ブログサイトに情報がありました。 Windows 版 mackerel-agent をアップデートしました ほか - Mackerel ブログ #mackerelio ブログ記事によると、イベントログ監視の機能は Mackerel公式プラグイン として提供されており、なおかつ、最新のWindows版mackerel-agentには Windowsイベントログ監視 のプラグインが同梱されてい
良さそう ITインフラの“体調”を一元監視で早期に異常検知 https://t.co/TumixShIsb @PRTIMES_JPより — adachinSRE (@adachin0817) February 26, 2024 皆さんお久しぶりです!1ヶ月ぶりのブログとなってしまいましたが、本日はなかなか面白いモニタリングツールを発見しました。 きっかけはXでの呟きからなのですが、メタップスホールディングスさんがSaaS向けイベントログの一元監視サービス「srest(スレスト)」をリリースされました。非常に気になっていたので使ってみようかなと思っていたところ!開発メンバーが「お初ですが、飲みいきましょう!」と誘われたので、いざ新大久保へ! 今日は「srest」というイベントログの一元化ツールを開発しているメンバーと新大久保でポッサム会!みんな超面白い方でした!来週辺りに個人でsrest触っ
RDS のイベントログを Amazon SNS 経由で Mackerel のグラフアノテーション登録する PoC を作る #mackerel | DevelopersIO
この記事は Mackerel Advent Calendar 2019 の 18 日目の記事です。 みなさん、Mackerel で監視してますか!(挨拶 みなさん、Mackerel でAWS インフラを監視してますか!(再挨拶 AWS の Multi-AZ な RDS を運用していると、たまに「あれ、いつのまにか failover している。。。?」と気付くときがありますよね。 Design for failure なので理論上はfailover してても別に大したことはない(はずな)のですが、実際のところは AZ 間通信のレイテンシの差がシビアな環境など、failover した事実に気付きたいユースケースは存在します。 Mackerel で RDS を監視する場合は AWS インテグレーションを使うのが王道と思いますが、その場合だと「イベント」として、直近起きたイベントが表示されます。
こんにちは。NFLabs. 事業推進部の橋本です。 本記事はNFLabs. アドベントカレンダー 2日目です。 はじめに 本日はセキュリティ監査を行う上で重要な情報であるWindowsイベントログ(セキュリティ監査)について記事を書いていこうと思います。 2日目の「2」にちなんで、実際に設定/運用する際のお悩みポイントを2択形式で紹介していきます。 2択その1 ではWindowsイベントログ(セキュリティ監査)のログ出力設定方法に関する2択を紹介します。 2択その2 ではログオンログの分析に関する2択を紹介します。 2択その3 では共有ファイルへのアクセスログ分析に関する2択を紹介します。 はじめに Windowsイベントログ(セキュリティ監査)とは 2択その1: 監査ポリシーの設定 ~ 基本 or 詳細~ 2択その2: ログオンの監査 ~セキュリティ監査4624 or LocalSes
リモートデスクトップでホストをインターネットに公開する場合の一番のインシデントは、不正アクセスです。 自身の被害ならまだいいのですが、犯罪被害の踏み台になっていたら、大変です。 そのためにもパスワードは複雑な一定以上の長さのものを設定しておくべきでしょう。 あるいは生体認証も身近なものになってきましたから、採用を検討するといいでしょう。 ログは起こってしまったことを確認する手段ですが、毎日の確認で、異常を早く見つけることができます。 誰が何処からアクセスしたのかをログをとって日々確認しましょう。 Windows10をリモートデスクトップホストにしたときの、イベントログの設定と見方を解説します。 イベントビューアーの開き方 「スタート」ボタンを右クリックして、「イベントビューアー」を選択します。 スタートボタンを右クリック ー イベントビューアー イベントビューアーが起動します。 イベントビ
EventBridge経由で収集したGuardDutyのイベントログをGlue CrawlerでクロールしてAthenaで見れるようにしてみた | DevelopersIO
EventBridge経由で収集したGuardDutyのイベントログをGlue CrawlerでクロールしてAthenaで見れるようにしてみた Glue Crawlerを利用することで実データから簡単にスキーマを作成できるので、これを応用して少し裏技的に都合のいいGuardDutyイベントログをクエリするテーブルを作成します。 こんにちは、臼田です。 みなさん、ログ分析してますか?(挨拶 今回はEventBridge経由で収集したGuardDutyのイベントログをAthenaでクエリできるようにしてみます。以下前回のブログの続きです。 まえがき 前回書いていますが、GuardDutyのイベントログを直接S3に保存せず、EventBridge経由で保存する場合の、Athena活用までの道のりです。同じ利用の仕方の方だけ参考になるかも。 AWS GlueのCrawlerを利用すると保存されてい
iOS Simulatorで起動したFlutterアプリから送信されるFirebase AnalyticsのイベントログをDebug Viewでリアルタイムに確認する | DevelopersIO
iOS Simulatorで起動したFlutterアプリから送信されるFirebase AnalyticsのイベントログをDebug Viewでリアルタイムに確認する こんにちは、CX事業本部 IoT事業部の若槻です。 Firebase AnalyticsではDebug Viewを使用することにより、アプリから送信されるイベントログをリアルタイムでコンソールから確認することができます。 今回は、iOS Simulatorで起動したFlutterアプリから送信されるFirebase AnalyticsのイベントログをDebug Viewでリアルタイムに確認してみました。 やってみた デバッグするアプリおよび環境は、以前のエントリで作成したものを使用します。 main.dartのコードは次のようになります。 lib/main.dart import 'package:flutter/mater
困っていた内容 RDS でイベントが発生しました。マネジメントコンソールで確認しようとしましたが、目的のイベントが時間経過により表示されなくなってしまいました。過去のイベントログを確認する方法を教えてください。 イベント発生時 時間経過後 どう対応すればいいの? AWS マネジメントコンソールは RDS イベントログは、過去 24 時間のイベントを確認することが可能です。それより前の時間のイベントを確認する場合は、AWS CLI コマンドdescribe-eventsを使用します。 例: 過去 14 日(20160分)間に発生したイベントを確認するコマンド $ aws rds describe-events --duration 20160 --source-identifier database-test --source-type db-instance 結果例 { "Events":
reverse-eg-mal-memoのブログサイバーセキュリティに関して、あれこれとメモするという、チラシの裏的存在。 medium(英語):https://sachiel-archangel.medium.com/ サイバー攻撃に関するインシデントのフォレンジック調査をする場合、重宝するのはやはりログです。 これは、どのOS、アプリケーションでも重宝します。 フォレンジック調査は、「データとして残っている」痕跡が無ければ調査できません。 ログはいつ、どのような動きをしていたかをOSやアプリケーションが痕跡を残してくれるため、調査の軸になります。 ただし、ログの改ざん、破壊がされてしまうケースもあり、その対策は必要です。 さて、今回は、「そもそもログが足りているか?」というお話です。 例えばWebサービスからSQLインジェクションで情報を盗まれた可能性がある場合、ケースによってはSQLの
はじめに セキュリティサービス部セキュリティエンジニアの岡本です。本記事では、Windows のイベントログ解析ツールである Hayabusa について紹介します。 セキュリティインシデントに迅速かつ正確に対応するためには、不正アクセスやマルウェア感染など、攻撃の痕跡を突き止めることが重要となります。 攻撃の痕跡を突き止めるために、メモリやストレージ、ネットワーク通信等の様々なデータを解析しますが、中でも被害端末に残されたイベントログをはじめとした各種ログの解析は攻撃の痕跡を探す上で非常に有効です。 しかし、手動で様々なログを解析し、攻撃の痕跡を見つけ出す作業は非常に困難です。 ログのデータ形式には様々な種類があるため、読み解くためには知識や慣れが必要であり、さらに、ログが大量に存在する場合、攻撃の痕跡に関する情報を見逃す可能性もあります。 こうした問題を解決するために、自動でログを解析す
Windows その10 - 一瞬で開いて閉じるコンソールウィンドウで何が実行されたのか?・イベントログで把握する方法
「Windows」を利用していると、いきなりコンソールウィンドウが開き、瞬時にコンソールウィンドウが閉じる現象が発生することがあります。 割と多くのユーザーが経験していることだと思います。 以前の「WSL」では、バックグラウンドで「Ubuntu」のパッケージキャッシュを更新するタスクがスケジューリングされており、タスク実行時にいきなりコンソールウィンドウが開き、タスクを実行していました。 「WSL」の件に限らず知らないユーザーからすれば、一瞬でコンソールウィンドウが閉じてしまうため何が起きたのか把握できず、怪しいソフトが動いているのではないかと不安になることもあるでしょう。 公式サイトにて、コンソールウィンドウで何が実行されたのかを把握する方法が紹介されています。 How to Determine What Just Ran on Windows Console 新しいプロセスを起動した時
こんにちは、R&Dチームの中村健太郎です。 Mask R-CNNでいちごを検出する話、3DCGモデルからデータセットを作る記事を過去に投稿しましたが、今回はガラリと変わってiOSアプリの話で記事を書きました。余談ですがiOSアプリを作る手段はReactNativeだったり、Swiftでゴリゴリだったりしますが、実際のところ今どのくらいの割合でそれらが採用されているのかが気になるこの頃です。 はじめに クライアントアプリにおけるイベントログ収集のモチベーション Sentry Sentry iOS SDKを導入してみる Sentryプロジェクトの作成 sentry-cocoaの導入 iOSアプリでの設定 Errorイベントを送信してみる イベントについて デフォルトで取得できる情報 送信情報のカスタマイズ Loggerと組み合わせる XCGLogger おわりに ライセンス表記 はじめに クラ
windows-event-log-sample.py � ĂU @6 ĂU # -*- coding:utf-8 -*- import win32api import win32con import win32evtlog import win32security import win32evtlogutil import time class EventLog: def __init__(self): ''' - SID の生成 - refer to http://www.atmarkit.co.jp/ait/articles/0306/28/news004.html ''' self.ph = win32api.GetCurrentProcess() self.th = win32security.OpenProcessToken(self.ph, win32con.TOKEN_R
Windows Serverのイベントログをリアルタイムでメール送信 / 開発者向けブログ・イベント | GMO Developers
Windows Serverを利用してサービス提供をしている場合、イベントログはサーバー管理者にとって重要な情報源となります。緊急度の高いログが出力された場合、リアルタイムで情報を取得しておきたいものです。 重要と思われるイベントログが出力された場合に携帯などメール通知機能のある端末に情報を送信して、リアルタイムで確認する方法をご紹介します。 タスクスケジューラーを利用したイベントログのメール送信 イベントログが出力された際にメール通知するには、Windows Server標準のタスクスケジューラーやSystemCenter、サードパーティーの製品を利用することで実現可能ですが、数台程度のサーバー規模であればPowerShellを利用して簡単にリアルタイム通知をリモート先からでも実現することができます。 タスクスケジューラーを利用したイベントログのメール送信。 SMTP認証が必要な場合は、
イベントビューアーでエクスポートするGUI操作でイベントログをエクスポートするには「イベントビューアー」を利用します。 特定のイベントログだけをエクスポートしたいときは、エクスポートする数が少なければ、エクスポートしたいイベントログを選択して、画面右側の操作メニューから「選択したイベントの保存」をクリックします。 ファイルの保存ダイアログが表示されたら、ファイルの種類から「テキスト(タブ区切り)」もしくは「CSV(カンマ区切り)」を選択し、ファイル名を指定して保存します。 テキスト(タブ区切り)で保存したファイルを開くと、次のように表示されています。 特定の条件に一致するイベントログを一括でエクスポートしたいときは、まず以下のいずれかの方法で表示するイベントログを絞り込みます。 現在表示しているログから特定のイベントログだけに絞り込みたいときは、画面右側のメニューから「現在のログをフィルタ
ecspresso tasks --trace でECSタスクのイベントログを一括表示する tracer を使えるようにした - 酒日記 はてな支店
メリークリスマス!(フライング) AWS Containers Advent Calendar 2021 6日目の記事です。 先日、github.com/fujiwara/tracer という結構便利なやつを作りました。Amazon ECS タスクに関連するイベントとログを一括で出してくれる、シンプルな CLI です。 github.com 解説記事はこちら(会社のアドベントカレンダー)に書きましたのであわせてご覧下さい。 techblog.kayac.com tracer は単体の CLI で動作するのでどのような手段で管理している ECS タスクにも使えるのですが、これを ecspresso からも呼び出せると便利では? と思い立ったのでそうしました、というのがこの記事です。 ecspresso tasks --trace tracer は ECS クラスタ名とタスクIDを指定して動作
その中にあるイベントログファイルをイベントビューアーから「保存されたログを開く」で読み込めば確認できます。
Free course demos allow you to see course content, watch world-class instructors in action, and evaluate course difficulty.
Amazon SESの送信イベントログをCloudWatch Logsに保存する設定をCDKv2でサクッとつくれるようにする | DevelopersIO
Amazon SESの送信イベントログをCloudWatch Logsに保存する設定をCDKv2でサクッとつくれるようにする ゲームソリューション部の新屋です。 SES検証中にメール送信のイベントログを取りたくなったので、もろもろの設定をCDKv2(TypeScript)で書いてみました。 実現すること 送信元ドメインをSESに登録し検証済みにする 配信・開封・ハードバウンス・苦情のメール送信イベントをトラッキングする メール送信イベントのログはSNS→Lambda→CloudWatchLogsに保存する ハードバウンス・苦情が発生したらアラームを発砲し、Slackに通知する 構成図 出来上がったコード ./bin/main.ts import { App, Stack, StackProps, Duration, RemovalPolicy, aws_logs as logs, aws_
PythonでWindowsイベントログを作成する方法
2021-02-24 06:41Windowsイベントビューアへのイベントログの書き込みに問題があります。 アプリケーションとサービスログメニューでカスタムイベントログを登録したいのですが、Pythonで登録する必要がありません(この場合はPyWin32を使用しています)。基本的に、PowershellのNew-EventLog にカスタムログを登録できますが、Pythonで登録したいと思います。 これらは私が行ったいくつかの試みです: PowershellのNew-EventLog を使用してイベントログを作成します: New-EventLog -LogName -Source Pythonで、登録されたログ名でハンドラーを開きます: import win32evtlog hand= win32evtlog.OpenEventLog(None, 'CustomRegisteredEven
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Windowsイベントログ解析ツール「Hayabusa」を使ってみる - itiblog
Windowsの再起動とその原因をイベントログから探る (1/3)
Windowsで発生したことを確認できるWindowsイベントログを解説する (1/2)
WindowsイベントログをPowerShellを用いて扱う (1/2)
Windowsのイベントログをコードの隠し先として悪用、サイバー攻撃で初確認
Windowsイベントログを利用したファイルレスマルウェアの手法が観測される
JPCERT/CCがイベントログ分析支援ツール「LogonTracer v1.5.0」を公開
Windowsイベントログのファストフォレンジックツール Chainsaw
MackerelでWindowsのイベントログ監視を行う | DevelopersIO
[SRE][Monitoring]イベントログの一元監視サービス「srest」を使ってみた!
Windowsイベントログ(セキュリティ監査)の設定/運用tips - NFLabs. エンジニアブログ
リモートデスクトップで知っておくべき「イベントログ」の見方
24時間以上前の RDS イベントログを確認する方法 | DevelopersIO
『Windowsのイベントログ、足りてますか?』
HayabusaによるWindowsイベントログ解析 - FFRIエンジニアブログ
SentryでiOSアプリのイベントログを収集する - OPTiM TECH BLOG
Python スクリプトから Windows Server のイベントログにログを送るメモ
Windowsイベントログを検索したりテキスト形式でエクスポートする方法
イベントログ解析ツールのリリース候補版「Hayabusa」v1.0.0-R2が公開 ほか ~13件を掲載(1月28日のダイジェストニュース)【ダイジェストニュース】
Windows10大型アップデートでイベントログが消える
Windowsイベントログ解析によるDFIRとThreat Hunting | SANS Institute
www.news.viverse.com
weekly.ascii.jp
it.impress.co.jp
www.asahi.com
weekly.ascii.jp
www.nikkei.com