インシデント対応チームとブルーチームが脅威を特定するためのWindowsイベントログ記録の検索を高速化する「Chainsaw」という新しいツールがリリースされました。
このツールは、セキュリティ関連業務の最初の対応段階を支援するために設計されており、ブルーチームが調査に関連するエントリを優先順位付けする際にも役立ちます。
インシデント対応者向け
Windowsのイベントログは、システムの活動を記録したもので、アプリケーションやユーザーのログインに関する詳細が含まれています。フォレンジック調査担当者は、関心のあるイベントのタイムラインを作成するために、これらの記録を主な証拠として利用します。
これらの記録を確認する作業における難しい点は、特にログレベルの高いシステムでは記録の数が多く関連する情報を探し出すのに時間がかかることです。
F-Secure社Countercept部門のリード・スレット・ハンターであるJames D氏が作成したChainsawは、Rustベースのコマンドライン・ユーティリティであり、イベントログを調べて、脅威を示す可能性のある疑わしいエントリや文字列をハイライトすることができます。
このツールは、Sigmaのルール検出ロジックを使用して、調査に関連するイベントログを素早く見つけ出すことができます。
Chainsawには、Sigmaルールに適さない検出ユースケースのためのロジックも組み込まれており、キーワード、正規表現パターン、または特定のイベントIDでイベントログを検索するためのシンプルなインターフェースを提供しています。
Chainsawは特に、侵害時に検知・対応ソリューション(EDR)が存在しなかった環境でのイベントログの迅速な分析に適しているとコメントしており、脅威分析者やインシデント・レスポンダーは、Chainsawの検索機能を使って、Windowsログから悪意ある活動に関連する情報を抽出することができます。
ユーザーは、このツールを使って以下のことができます。
- イベントID、キーワード、および正規表現パターンによるイベントログの検索
- Windows Defender、F-Secure、Sophos、Kaspersky AVアラートの抽出と解析
- 主要なイベントログが消去されたり、イベントログサービスが停止したりした場合の検出
- 機密性の高いユーザグループへのユーザの作成または追加の検出
- ローカルユーザーアカウントの徹底的な調査
- RDPログイン、ネットワークログインなど
- Windowsイベントログの関連情報を検索するチェーンソーハンティング
- 疑わしいイベントのチェーンソー検索とミミカッツ活動の検索
これ以外にも、Sigmaのルール検出は、以下のような多数のWindowsイベントIDに対して機能します。
- プロセス作成(Sysmon) 1
- ネットワーク接続 (Sysmon) 3
- 画像読み込み(Sysmon) 7
- ファイル作成 (Sysmon) 11
- レジストリイベント(Sysmon) 13
- Powershellスクリプトブロック 4104
- プロセスの作成 4688
- スケジュールされたタスクの作成 4698
- サービスの作成 7045
Chainsawは、オープンソースのツールとして提供されており、EVTXパーサライブラリとF-Secure CounterceptのTAU Engineライブラリが提供する検出ロジックのマッチングを使用しています。結果をASCIIテーブル、CSV、JSONで出力することができます。
Comments