Upgrade to Pro — share decks privately, control downloads, hide ads and more …

イベントログ解析ツールのあれこれ

misQ
February 26, 2022

 イベントログ解析ツールのあれこれ

雰囲気セキュリティ#3(https://4tmosphere-sec.connpass.com/event/238394/)

misQ

February 26, 2022
Tweet

More Decks by misQ

Other Decks in Technology

Transcript

  1. GithubでWindowsのイベントログ(evtxファイル)の解析ツールで Starの多い著名なものを調べてみた DeepBlueCLI: Eric Conradが作成したevtx解析ツール。PowerShell製 PSWinReporting: PrzemyslawKlysが作成 。PowerShell製 WELA: Zachary

    Mathis(@yamatosecurity)が作成。PowerShell製 APT-Hunter: Ahmed Khlief(@Ahmed_khlief)が作成したevtx解析ツール。Python製 LOGON Tracer: JPCERT/CCが作成。Python製 RustyBlue:Zachary Mathis(@yamatosecurity)が作成。Rust製 Chainsaw:F-Secure @FranticTypingが作成。Rust製 hayabusa:Zachary Mathis(@yamatosecurity)が作成。Rust製 Atmosphere Security #3 10
  2. 先ほどのありそうな問題の軸に合いそうなツールは何か? ツール名 プログラ ミング言 語 データの 処理速度 実行端末に環境 準備が不要? 追加での検知ルールは

    組み込み可能か? DeepBlueCLI PowerShell × 〇(※1-1) × WELA PowerShell × 〇(※1-1) △(※1-2) PSWInReporting PowerShell × 〇(※1-1,1-3) - ※1-1: Windows機でPowerShellが端末にあれば実行可能 ※1-2: SIGMA(SIEMシステムへの検知ルール集)を変換して一部ルール化している ※1-3: ADのイベントを監視してADのイベントを通知するツールで監視寄り Atmosphere Security #3 11
  3. ツール 名 プログラミ ング言語 データの処 理速度 実行端末に環境準 備が不要? 追加の検知ルールは組み 込み可能か?

    LOGON Tracer Python △ ×(※2-1) ×(※2-2) APT- Hunter Python △ ×(※2-1) × ※2-1: Python実行環境が必要 ※2-2: ログオン実施時に出力されるログのみに対応としている Atmosphere Security #3 12
  4. ツール名 プログラミ ング言語 データの 処理速度 実行端末に環境準 備が不要? 追加の検知ルールは組 み込み可能か? RustyBlue

    Rust 〇 〇(※3-1) × Chainsaw Rust 〇 〇(※3-1) 〇(※3-2) hayabusa Rust 〇 〇(※3-1) 〇(※3-2) ※3-1:コンパイルした実行ファイルがあれば環境準備不要 ※3-2:SIGMAというSIEMシステムへの検知ルールレポジトリのyamlを利用してい る。Chainsawよりhayabusaのほうが2022/02現在対応している構文は多い Atmosphere Security #3 13