- blogs:
- cles::blog
2016/06/28
JPCERT/CC が不正アクセス時の調査方法をまとめた報告書を公開
jpcertcc intrusion windowsserver windows7 windows8 report
もし自分の管理しているシステムが不正アクセスを受けたときには、攻撃者に何をされたのかについて、ログ等の痕跡を分析して調査する必要がありますが、このような作業はセキュリティの専門家でなけければ難しいものです。
今回、JPCERT/CC が公表した「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」はそのような時に役立つマニュアルになっています。対象となっている OS は Windows7 Pro SP1, Windows 8.1 Pro, Windows Server 2008R2 SP1, Windows Server 2012 R2 の4種類。この上で特定の攻撃ツールが実行された場合にイベントログやレジストリにどのような痕跡が残るのかについて詳細に解説があります。
一般社団法人JPCERTコーディネーションセンター, "インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書," p.5, 2016/6/28.
本調査の目的は、インシデント調査のためのログ分析において、多くの攻撃者が使用するツールの実行痕跡を読み解くことによって、攻撃の実像に迫ろうとする分析者のために参考となる、基礎的な情報を整理して提供することにある。すなわち、ログに記録された情報から、どのツールが実行されたのかを割り出し、また逆に、あるツールが実行された場合に、どのような情報がどのログに記録されるのかを提示することにより、効果的なログ調査をガイドできるような辞書づくりを目指した。
なかなか面白いのでセキュリティに興味があれば一読しておくと良さそうです。
トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/8588
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form
コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。
OpenID を使ってログインすることができます。
サイト内検索
検索ワードランキング
へぇが多いエントリ
- nmcli で NIC が所属するゾー... (2)
- びっくりドンキー 大宮公園店 (1)
- Windows 10 で勝手にログアウ... (1)
- 居酒屋 八(ひらく) (1)
閲覧数が多いエントリ
1 . Solr-rubyで複数のドキュメントを一括Post(32971)
2 . Windows 10 で勝手にログアウトされないようにする(30903)
3 . Word で数式がグレーアウトされていて挿入できないときは(26509)
4 . リモートデスクトップで Alt + PrtSc と同じことをするには(22010)
5 . Visual Studio 2017/2019 で scanf() がエラー(C4996)になるときは(21325)
2 . Windows 10 で勝手にログアウトされないようにする(30903)
3 . Word で数式がグレーアウトされていて挿入できないときは(26509)
4 . リモートデスクトップで Alt + PrtSc と同じことをするには(22010)
5 . Visual Studio 2017/2019 で scanf() がエラー(C4996)になるときは(21325)
cles::blogについて
Referrers
19017968
(W:4646 Y:1875 T:1589)
