Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
イベントログ解析ツールのあれこれ
Search
misQ
February 26, 2022
Technology
1.8k
3
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
イベントログ解析ツールのあれこれ
雰囲気セキュリティ#3(
https://4tmosphere-sec.connpass.com/event/238394/
)
misQ
February 26, 2022
More Decks by misQ
See All by misQ
今夜、調べてみました-ペネトレーションテストis 何?-
_misq_
1
190
セキュリティ業界にn年いて思ったこと
_misq_
0
710
Other Decks in Technology
See All in Technology
製造現場での生成AIの活用、およびエージェントAIの実装のあり方、AVEVAの取り組み
iotcomjpadmin
0
220
飲食店もAIで。レジ締めやハンディシステムをつくってる話 / Using AI for restaurant management
vtryo
0
230
きのこカンファレンス2026_肩書きを外したとき私は誰か
yamasatimi
1
130
そこにあるから地図ができる~位置を示す"モノ"を愉しむ~ - Interface 2026年6月号GPS特集オフ会 / interface_202606_GPS_offline
sakaik
1
200
アラート調査向けAIエージェントの本番導入とその後/AI Agents for Alert Investigation: Production Deployment and After
taddy_919
1
330
Multi-Agent並列開発を 安全に回すための技術 / Technology for Safely Multi-Agent Parallel Development
tooppoo
0
250
型は壁、Rustでもバグを直すな、表現できなくせよ
nwiizo
3
300
cccccc
moznion
0
1.7k
AIで政治は変わるのか? — 中高生と考えたAI時代の民主主義(東海高校サタデープログラム)
eitarosuda
0
370
Agentic AI 時代のテスト手法: Kiro とはじめるプロパティベーステスト (AWS Summit Japan 2026 | DEV212)
ymhiroki
0
200
認証認可だけじゃない! ID管理の構成要素と ライフサイクルを意識しよう
ritou
1
460
どうして今サーバーサイドKotlinを選択したのか
nealle
0
190
Featured
See All Featured
Utilizing Notion as your number one productivity tool
mfonobong
4
340
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
400
Scaling GitHub
holman
464
140k
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.2k
The Curse of the Amulet
leimatthew05
2
13k
Side Projects
sachag
455
43k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.5k
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
2
410
Typedesign – Prime Four
hannesfritz
42
3.1k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.5k
jQuery: Nuts, Bolts and Bling
dougneiner
66
8.5k
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.6k
Transcript
イベントログ解析ツールのあれこれ 雰囲気セキュリティ勉強会 #3 Atmosphere Security #3 1
お約束 本プレゼンは、個人の見解であり、所属組織を代表するものでもありません 本発表は所属組織に寄与する意図で記載しておりません Atmosphere Security #3 2
目次 自己紹介 イベントログ解析とは イベントログ解析の際に考えられそうな問題 イベントログ解析に使えるツール OSSでのイベントログ解析ツールを調べてみた OSSでのイベントログ解析ツールでどれくらい問題が解決しそうか? まとめ Atmosphere Security
#3 3
自己紹介 名前:misQ お仕事:ITエンジニア 好きなもの:好き 嫌いなもの:嫌い Atmosphere Security #3 4
イベントログ解析とは IT用語辞典 e-Wordsより イベントログとは、コンピュータシステムに起こった出来事や行われた操作 などを時系列に記録したデータ。単にイベントログという場合はWindowsに おけるそれを指すことが多い(イベントログは本定義としておきます) 一旦Windowsに限らず会社内のすべてのコンピュータシステムに起こった出 来事や行われた操作などを時系列に記録したデータを考える(便宜上、本発表 では「全社システムイベントログ」と記載します) Atmosphere
Security #3 5
日々のイベントログはたくさんある proxyログ Windowsイベントログ(OSがWindowsだった場合) Linuxイベントログ システム関連のログ(syslog) アプリケーション関連のログ(/var/log) ネットワーク装置のログ 死活監視のログ etc...... Atmosphere
Security #3 6
インシデント発生したら…… インシデントレスポンスとしての流れとして、まず報告もしくは検知が発生して Point of ContactやSOCに情報がくる。次に何をするか トリアージ: インシデントでの対応優先付け 何が大事になるか?事実ベースで確認をする必要がある 全社システムイベントログが必要になる Atmosphere
Security #3 7
考えられそうな問題 大きく分けてログの「収集」と「解析」の2つがある ログの形式、OS、サーバがバラバラ ログの集約をすることが必要(収集) ログから怪しい動きを検出しなければいけない システムの規模によるが非常に膨大(解析) ログを見てもそれが怪しい動きなのかわからない。新しい検知ロジックとかを分 かっていないと正しいのかすらわからない状態になる(解析) Atmosphere Security
#3 8
今回のイベントログ解析として使えそうなツールは? 商用 Splunk Azure sentinel Sumo Logic OSS 収集についてはFluentdとかElastic Stackなどがあるが、どうやって解析する?
→特に標的となるWindowsのイベントログ解析ツールについて確認してみた Atmosphere Security #3 9
GithubでWindowsのイベントログ(evtxファイル)の解析ツールで Starの多い著名なものを調べてみた DeepBlueCLI: Eric Conradが作成したevtx解析ツール。PowerShell製 PSWinReporting: PrzemyslawKlysが作成 。PowerShell製 WELA: Zachary
Mathis(@yamatosecurity)が作成。PowerShell製 APT-Hunter: Ahmed Khlief(@Ahmed_khlief)が作成したevtx解析ツール。Python製 LOGON Tracer: JPCERT/CCが作成。Python製 RustyBlue:Zachary Mathis(@yamatosecurity)が作成。Rust製 Chainsaw:F-Secure @FranticTypingが作成。Rust製 hayabusa:Zachary Mathis(@yamatosecurity)が作成。Rust製 Atmosphere Security #3 10
先ほどのありそうな問題の軸に合いそうなツールは何か? ツール名 プログラ ミング言 語 データの 処理速度 実行端末に環境 準備が不要? 追加での検知ルールは
組み込み可能か? DeepBlueCLI PowerShell × 〇(※1-1) × WELA PowerShell × 〇(※1-1) △(※1-2) PSWInReporting PowerShell × 〇(※1-1,1-3) - ※1-1: Windows機でPowerShellが端末にあれば実行可能 ※1-2: SIGMA(SIEMシステムへの検知ルール集)を変換して一部ルール化している ※1-3: ADのイベントを監視してADのイベントを通知するツールで監視寄り Atmosphere Security #3 11
ツール 名 プログラミ ング言語 データの処 理速度 実行端末に環境準 備が不要? 追加の検知ルールは組み 込み可能か?
LOGON Tracer Python △ ×(※2-1) ×(※2-2) APT- Hunter Python △ ×(※2-1) × ※2-1: Python実行環境が必要 ※2-2: ログオン実施時に出力されるログのみに対応としている Atmosphere Security #3 12
ツール名 プログラミ ング言語 データの 処理速度 実行端末に環境準 備が不要? 追加の検知ルールは組 み込み可能か? RustyBlue
Rust 〇 〇(※3-1) × Chainsaw Rust 〇 〇(※3-1) 〇(※3-2) hayabusa Rust 〇 〇(※3-1) 〇(※3-2) ※3-1:コンパイルした実行ファイルがあれば環境準備不要 ※3-2:SIGMAというSIEMシステムへの検知ルールレポジトリのyamlを利用してい る。Chainsawよりhayabusaのほうが2022/02現在対応している構文は多い Atmosphere Security #3 13
様々なツールがあるが、どれが一番良いか? PowerShell製のツールは他言語に比べ処理が重いという弱点があるが、Windows 端末であれば(制限とかをしていなければ)特に環境を準備せずに利用可能であると いうメリットがある ロジックの追加もスクリプトなので気軽にできるかもしれない Python製のツールはPowerShellよりも処理が速く、Pythonの他ライブラリとの連 携がやりやすいということでがメリットがある Atmosphere Security #3
14
様々なツールがあるが、どれが一番良いか?(続き) Rust製のChainsawやhayabusaが速度が速くかつSIGMAルールを組み込めることで 新たに出てきた攻撃についても検知ロジックを組み込むことが可能 Rustはクロスコンパイルができるので、LinuxやMacでも利用可能 ただ、Rust製のツールの共通の弱点としてイベントログが随時追加されるよ うなストリームデータへの解析には対応していない 監視は別途集約して行ったうえで、解析はこれらのツールは行うという 形がよさそう Rustは他の2言語に比べて敷居が高い所があるためカスタムするとなると難度 は高いかもしれない
Atmosphere Security #3 15
結論:状況と欲しい解析によって適度なもの組み合わせて選択して いこう Atmosphere Security #3 16
まとめ 今回はイベントログ解析について触れた Windowsイベントログ解析のツールはOSSにも色々あるので試しに使ってみよう OSSの運用はある程度は自己責任で。使わせてもらっているとか応援をしたいと いうのであればGithubでStarをつけて応援しよう 今回はイベントログ解析で解析に必要なデータが全部evtxファイルにある前提で 話がすすめたが、Windowsイベントログは初期設定だと解析に必要なデータが全 く手に入らない為Sysmonを導入してログの設定を行うことが必要 すべてを有効にすると非常に大量のログが出てしまうので、GitHubで公開さ れているSysmonの設定は以下があるので参考にするとよさそう
https://github.com/olafhartong/sysmon-modular https://github.com/SwiftOnSecurity/sysmon-config Atmosphere Security #3 17