2018年9月6日、JPCERT/CC は、Sysmon ログを可視化して端末の不審な挙動を調査するツール「SysmonSearch」を公開しました。SysmonSearch は、マイクロソフト社が提供するツール「Sysmon」のログを一元管理し、ログを分析する機能を複数実装したツールです。Sysmon のログに記録されるプロセスやイベント等の関連性が可視化されることで、迅速かつ正確にログを分析できます。また、監視ルールを設定し、ヒットした Sysmon のログを確認することで、インシデントの早期発見にも役立ちます。 SysmonSearch は GitHub で公開していますので、下記の Web ページからダウンロードしてご利用ください。また、DockerFile も公開しておりますので併せてご利用ください。
参考文書(日本語)
-
JPCERT/CC
Sysmonログを可視化して端末の不審な挙動を調査~SysmonSearch~(2018-09-06)
https://www.jpcert.or.jp/magazine/acreport-SysmonSearch.html
参考文書(英語)
-
JPCERT/CC
JPCERTCC/SysmonSearch
https://github.com/JPCERTCC/SysmonSearch
-
JPCERT/CC
JPCERTCC/SysmonSearch
https://github.com/JPCERTCC/SysmonSearch/wiki
Weekly Report 2018-09-12号 に掲載