Sysmon脅威分析ガイド、パート1

この記事は、Sysmon脅威分析に関するシリーズの最初の記事です。シリーズの全ての他の部分：



パート1.紹介SYSMONログ分析（私たちはここにいる）

の脅威を識別するためにSYSMONイベントからのデータを使用して、第2部

グラフを使用してSYSMONの脅威の第3部での詳細な分析を



しますが、情報セキュリティに従事している場合は、おそらくする必要が把握しばしばそれを進行中の攻撃。すでに訓練された目がある場合は、生の生ログで非標準のアクティビティを検索できます-たとえば、DownloadStringコマンドを実行するPowerShellスクリプトまたは、WordファイルのふりをするVBSスクリプト-Windowsイベントログの最新のアクティビティを参照するだけです。しかし、これは本当に大きな頭痛の種です。さいわい、マイクロソフトは攻撃分析をはるかに簡単にするためにSysmonを作成しました。



Sysmonログに表示される脅威の背後にある基本的な考え方を知りたいですか？WMIイベントガイドをスパイツールとしてダウンロードすると、内部関係者が他の従業員を静かに監視する方法を理解できます。 Windowsイベントログの操作に関する主な問題は、親プロセスに関する情報の不足です。そこからプロセスの階層を理解することはできません。対照的に、Sysmonログエントリには、親のプロセスID、名前、および実行するコマンドラインが含まれています。マイクロソフトに感謝します。



シリーズの第1部では、Sysmonからの基本情報で何ができるかを見ていきます。パート2では、子育て情報を最大限に活用して、脅威グラフと呼ばれるより複雑な適合構造を作成します。3番目の部分では、脅威グラフをスキャンして、グラフの「重み」の分析を通じて非標準のアクティビティを検索する単純なアルゴリズムを検討します。そして最後に、報酬として、脅威を検出する正確な（そして理解可能な）確率論的方法を見つけます。

パート1：Sysmonログ分析の紹介

イベントログの複雑さを理解するのに役立つものは何ですか。最終的に-SIEM。イベントを正規化し、その後の分析を簡素化します。しかし、少なくとも最初はそれほど遠くに行く必要はありません。最初に、SIEMの原理を理解するには、すばらしい無料のユーティリティSysmonを試すだけで十分です。そして、驚くほど簡単に操作できます。頑張れ、マイクロソフト！

Sysmonにはどのような機能がありますか？

簡単に言えば、プロセスに関する有用で読みやすい情報です（以下の図を参照）。Windowsイベントログにはない多くの便利な詳細が見つかりますが、最も重要なのは次のフィールドです。

• プロセスID（16進数ではなく10進数！）
• 親プロセスID
• コマンドラインを処理する
• 親プロセスのコマンドライン
• ファイル画像ハッシュ
• ファイルイメージ名

Sysmonは、デバイスドライバーとサービスの両方としてインストールされます-詳細はこちら。その主な利点は、複数のソースからのログを分析し、情報を関連付け、結果の値をパスMicrosoft-> Windows-> Sysmon-> Operationalにある1つのイベントログフォルダーに表示できることです。私の髪の毛を際立たせるWindowsログの私自身の調査では、たとえばPowerShellログフォルダーとSecurityフォルダーを絶えず切り替え、イベントログをひっくり返して、それらの間の値を何らかの形で比較するという大胆な試みをしなければなりませんでした。これは決して簡単な作業ではありません。後で気づいたように、すぐにアスピリンを補充する方が良いでしょう。



また、Sysmonは、基盤となるプロセスの理解に役立つ有用な（またはベンダーが言っているように、効果的な）情報を提供することにより、飛躍的な進歩を遂げています。たとえば、ネットワーク内のスマートインサイダーの動きをシミュレートする秘密のwmiexecセッションを開始しました。 Windowsイベントログに表示される内容は次のとおりです。

プロセスに関する一部の情報はWindowsログに表示されますが、ほとんど役に立ちません。プラス16進数のプロセスID ???



ハッキングの基本を理解しているプロのITプロフェッショナルは、コマンドラインに疑いを持つ必要があります。 cmd.exeを使用して別のコマンドを実行し、奇妙な名前のファイルに出力をリダイレクトすることは、コマンドアンドコントロール（C2）ソフトウェアのアクションと明らかに似ています。このように、WMIサービスを使用して疑似シェルが作成されます。

ここで、Sysmonエントリに相当するものを見てみましょう。これにより、追加情報がどの程度得られるかがわかります。

Opportunities Sysmon one screenshot：





コマンドラインだけでなく、ファイル名、Windowsが認識している実行可能アプリケーションへのパス（ "Windowsコマンドプロセッサ"）、親プロセスのID 、コマンドラインが親である、読み取り可能な形式のプロセスに関する詳細情報これにより、cmdシェルと親プロセスの実際のファイル名が起動されました。ついに、すべて一箇所に！

Sysmonログから、高い確率で、「生の」ログに表示されたこの疑わしいコマンドラインは、従業員の通常の作業の結果ではないと結論付けることができます。それどころか、これはC2のようなプロセス（前述のwmiexec）によって生成され、サービスWMIプロセス（WmiPrvSe）によって直接生成されました。これで、リモートの攻撃者または内部関係者が企業のインフラストラクチャに歯をつけようとしていることがわかります。

Get-Sysmonlogsの紹介

もちろん、Sysmonのログが1か所にあるのは素晴らしいことです。しかし、たとえばPowerShellコマンドを使用して、プログラムで個々のログフィールドにアクセスできれば、さらに良いでしょう。この場合、潜在的な脅威の検索を自動化する小さなPowerShellスクリプトを作成できます。

それは私の最初のアイデアではありませんでした。そして、いくつかのフォーラム投稿とGitHub プロジェクトが、PowerShellを使用してSysmonログを解析する方法をすでに説明しているのは良いことです。私の場合、Sysmonフィールドごとに個別の解析スクリプト行を記述する必要がないようにしました。そのため、怠惰な人間の原理を使用し、その結果、興味深いものを思いつきました。

最初の重要なポイントは、チームの能力ですGet-WinEventは、次のようにSysmonログを読み取り、必要なイベントをフィルタリングして、結果をPS変数に出力します。

$events = Get-WinEvent  -LogName "Microsoft-Windows-Sysmon/Operational" | where { $_.id -eq 1 -or $_.id -eq 11}

コマンドを自分でテストしたい場合は、$イベント配列の最初の要素$ events [0] .Messageにコンテンツを表示することで、非常に単純な形式の一連のテキスト文字列を取得できます。Sysmonフィールドの名前、コロン、そして値自体です。

やったー！ JSON対応フォーマットへのSysmonログ出力





私と同じことを考えていますか？もう少し努力して、出力をJSON形式の文字列に変換し、強力なConvertFrom-Jsonコマンドを使用してそれを直接PSオブジェクトにロードできます。

次のパートでは、変換用のPowerShellコードを示します。これは非常に簡単です。それまでの間、私がPSモジュールとしてインストールしたget-sysmonlogsという新しいコマンドで何ができるかを見てみましょう。

不便なイベントログインターフェイスを介してSysmonログ分析に飛び込む代わりに、PowerShellセッションから直接インクリメンタルアクティビティを簡単に検索し、PS whereコマンド（エイリアス "？"）を使用して出力を短縮できます。

WMIを介して起動されたcmdシェルのリスト。独自のGet-Sysmonlogsチームによる脅威分析





。データベースのようにSysmonログポーリングツールを作成しました。EQLに関する記事では、正式にはまだ本物のSQLに似たインターフェースを使用していますが、この関数は、この関数で説明されているクールなユーティリティによって実行されることに注意してください。はい、EQL はエレガントですが、3番目の部分で触れます。

Sysmonおよびグラフ分析

抽象化して、今作成したものについて考えてみましょう。基本的に、PowerShellを通じてWindowsイベントデータベースを利用できるようになりました。前述のように、ParentProcessIdを介したレコード間の接続または接続があるため、プロセスの完全な階層を取得できます。とらえどころのないマルウェア



の冒険シリーズを読んだことがあれば、ハッカーは複雑なマルチステージ攻撃を作成するのが大好きで、各プロセスが独自の小さな役割を果たし、次のステップへの踏み台を準備することを知っています。そのようなことは、「生の」ログからだけでは非常に困難です。

しかし、Get-Sysmonlogsチームと、テキストで後で説明する追加のデータ構造（もちろん、これはグラフです）を使用すると、頂点を正確に検索するだけで脅威を検出する実用的な方法が得られます。

いつものDYIブログプロジェクトと同様に、小規模な脅威の詳細分析に取り組むほど、組織レベルで脅威を検出することがいかに困難であるかを理解できます。そして、この意識は非常に重要なポイントです。



記事の第2部では、最初の興味深い合併症に遭遇します。ここでは、Sysmonイベントをより複雑な構造で相互にリンクし始めます。