資料の紹介
標的型攻撃をはじめとする高度なサイバー攻撃では、ファイルレスマルウエアが多く利用されるようになっている。ファイルレスマルウエアは、正規のツールを悪用し、実ファイルを生成しないため、アンチウイルスソフトなどで検知されにくい。そのため、端末のプロセス実行や通信の挙動などから感染を見つける必要がある。
端末のプロセス実行や通信の挙動を調べるには、各種EDR(Endpoint Detection and Response)製品のほか、マイクロソフトが無償でダウンロード提供しているWindows向けツール「Sysmon」などが利用できる。しかし、Sysmonで得られる情報はそのままでは分かりにくく、インシデントを迅速に検知・分析するのは困難な場合が多い。
本動画では、SysmonとSIEM(Security Information and Event Management)を組み合わせると標的型攻撃にどのように対応できるのかを、分かりやすく紹介する。日本をターゲットとした攻撃にも使われているツール(Powershell Empire)を使い、SIEMを使ったログデータの検索の手法や、検知したファイルレスマルウエアの動作を、実際の画面の動きに沿って解説する。
