このサイトは、ネットワーク内部に侵入した攻撃者が悪用する可能性が高い49個のツールを実行した際に、どのようなログがWindowsに記録されるのかを調査し、まとめています。調査するログなどの対象は、以下を対象としています。 なお、下記項目の中で最もツールの実行痕跡が残るのはイベントログであることを確認しています。そのため、ここではイベントログの調査を中心にしたものになっています。
また本調査の概要、使用方法などをまとめた報告書を、以下で公開しています。ツール分析結果シートを使用する際は、一度報告書をご確認いただくことをお勧めします。
インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (第2版)
各ツールの分析結果は表形式で解説しており、各項目で記載している内容について以下の通りです。
| 項目 | 内容 |
|---|---|
| ツール概要 | ツールについての説明およびツールの攻撃時における想定利用例について記載 |
| ツール動作概要 | ツールを使用する際の権限、通信方式、関連するサービスについて記載 |
| ログから得られる情報 | デフォルト設定(標準設定)および監査ポリシーの設定およびSysmonがインストールされた状態(追加設定)でツール実行時に得られるログの概要を記載 |
| 実行成功時に確認できる痕跡 | ツールの実行が、成功したことを確認する方法を記載 |
| 実行時に記録される主要な情報 | 対象のイベントログやレジストリ、USNジャーナル、MFTなどで記録される調査に活用できる重要な情報を記載(すべての記録される情報を記載しているわけではない) |
| 詳細 | 「実行時に記録される主要な情報」には含まれていない記録されるすべてのログについて記載 |
| 備考 | その他に記録される可能性があるログや検証時に確認した事項について記載 |
Windowsの標準設定では調査のために十分なイベントログを取得できません。そのため本調査では、次の設定をした場合に記録されるログを調査しています。
監査ポリシーの有効化方法やSysmonのインストール方法については、レポートをご覧ください。