BLOGTIMES
2016/06/28

JPCERT/CC が不正アクセス時の調査方法をまとめた報告書を公開

  jpcertcc  intrusion  windowsserver  windows7  windows8  report 
このエントリーをはてなブックマークに追加

もし自分の管理しているシステムが不正アクセスを受けたときには、攻撃者に何をされたのかについて、ログ等の痕跡を分析して調査する必要がありますが、このような作業はセキュリティの専門家でなけければ難しいものです。

今回、JPCERT/CC が公表した「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」はそのような時に役立つマニュアルになっています。対象となっている OS は Windows7 Pro SP1, Windows 8.1 Pro, Windows Server 2008R2 SP1, Windows Server 2012 R2 の4種類。この上で特定の攻撃ツールが実行された場合にイベントログやレジストリにどのような痕跡が残るのかについて詳細に解説があります。

一般社団法人JPCERTコーディネーションセンター, "インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書," p.5, 2016/6/28.

本調査の目的は、インシデント調査のためのログ分析において、多くの攻撃者が使用するツールの実行痕跡を読み解くことによって、攻撃の実像に迫ろうとする分析者のために参考となる、基礎的な情報を整理して提供することにある。すなわち、ログに記録された情報から、どのツールが実行されたのかを割り出し、また逆に、あるツールが実行された場合に、どのような情報がどのログに記録されるのかを提示することにより、効果的なログ調査をガイドできるような辞書づくりを目指した。

なかなか面白いのでセキュリティに興味があれば一読しておくと良さそうです。


    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/8588
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン