Sysmon
Sysmonとは?
Windowsには標準で「イベントログ」機能が備わっているが、既定の設定では記録できる情報量に限りがあり、不正アクセスやマルウェア感染の原因を追うには不十分なことが多い。Sysmonはその不足を補う形で動作する。
Sysmonは、どのプログラムが実行されたか、どのプロセスが別のプロセスを起動したか、どのIPアドレスと通信したか、どのファイルが作成・変更されたかを記録する。各記録には実行日時、ユーザー名、実行ファイルのパス、ハッシュ値なども含まれるため、後から詳細な追跡が可能になる。一度インストールするとシステムに組み込まれ、再起動後も自動で監視を継続する。
記録されたログはWindowsの「イベントビューア」に保存されるため、既存の管理ツールとそのまま連携できる。監視内容はXML形式の設定ファイルで細かく制御でき、特定のプロセスや通信先だけを対象にするといった絞り込みが可能である。全操作を無差別に記録するとログ量が膨大になってストレージや性能に影響するため、不要な記録を除外しながら必要な情報だけを収集する運用が一般的である。
セキュリティ対策として、攻撃者がどの手順でシステムを操作したかを解明するためにSysmonのログを参照することがある。マルウェアがどのファイルを書き換え、どのサーバと通信したかという一連の足跡を記録から再現できるため、被害範囲や侵入経路の特定を円滑に進められる。
また、「SIEM」や「EDR」などのセキュリティ分析製品へのデータ供給源としても使われ、複数端末のログを中央サーバに集約して横断的に解析するといった用途にも使われる。Sysmon自体は記録に特化したツールであり、集計や分析を行ったり攻撃を自動で遮断する機能は持たないため、収集したログを分析する仕組みと、分析結果に基づいてセキュリティ技術者が即応する運用体制を別途整える必要がある。
共有ボタンをタップ