NECサイバーセキュリティ戦略統括部 セキュリティ技術センターの松本です。今回はWindowsイベントログの解析ツールであるChainsaw[1][2]をご紹介します。また私自身のインシデント対応の経験を踏まえて、どのように役立つツールなのか、見解も交えてご説明します。 Chainsawはインシデントの初動対応を想定して開発されたツールです。Windowsイベントログから脅威を特定します。 Windowsイベントログ[3]とは、アプリケーションやOS、システムサービスに関する重要なイベントが記録されるログ情報のことです。サイバー攻撃の被害にあった端末のOSがWindowsであった場合に、攻撃の痕跡を探すための情報のひとつとして活用できます。 WindowsイベントログはWindowsに標準搭載されているイベントビューアーから確認できます。下の画像は、筆者のWindows10の仮想マシン上で
![Windowsイベントログのファストフォレンジックツール Chainsaw](https://cdn-ak-scissors.b.st-hatena.com/image/square/f349954dfb2d194c81c5943d5554957175bc99e5/height=288;version=1;width=512/https%3A%2F%2Fjpn.nec.com%2Fcybersecurity%2Fblog%2F220408%2Fimages%2Fogp.jpg)