JPCERTコーディネーションセンター(JPCERT/CC)は5日、Microsoftが公開しているWindowsイベントログ取得ツール「Sysmon」のログを迅速に分析できるツール「SysmonSearch」をGitHubに公開した。
SysmonはWindows端末の詳細なイベントログを収集するためのツールで、プロセスやレジストエントリの生成、ネットワークコネクション、ファイル生成時刻の変化などWindows OSの動作を記録する。JPCERT/CCが開発したSysmonSearchは、オープンソースのElastic Stackを用いて、Sysmonのログを一元管理、可視化することで迅速なインシデント調査を可能にしている。
-
GitHub上にあるJPCERT/CC、SysmonSearch公式より
複数端末を対象としたデータをElasticsearchに蓄積、ノードとアイコンで可視化されたログ、日時/IPアドレス/ポート番号/ホスト名/プロセス名/ファイル名/レジストリキー/レジストリ値/ハッシュ値を条件とした検索、統計、ルールにもとづいたログ監視など不審な挙動の確認に寄与する。JPCERT/CC分析センターが発行する分析センターだよりでは、このSysmonSearchの概要を紹介している。
