JPCERT/CCは9月6日、WindowsのSysmonログを可視化して端末の不審な挙動を調査する「SysmonSearch」を公開した。サイバー攻撃を受けたときなどに、複数の端末のログを一元的に管理し、分析することができる。

　「Sysmon」は、端末上で動作したアプリケーションの情報やレジストリエントリの作成、通信などWindows OSの様々な動作をイベントログに記録するツール。Sysmonのログを調査する最も一般的な方法は、イベントログをテキストなどの形式に変換し検索する方法だったが、この方法では多数の端末を同時に調査することは難しい。

　「SysmonSearch」では、Sysmonが収集したログに記録されるプロセスやファイル、レジストリなどの記録を1つのノードとして定義する。データを表示する際には、これらのノードを関連付けて可視化する。このように表現することで、各ノードの関係性を容易に確認できる。各ノードのアイコンはSysmonが記録するイベントID毎に用意してあり、視覚的にわかりやすくなっている。ログの検索では、日時やIPアドレス、ポート番号、ホスト名、プロセス名、ファイル名、レジストリキー、レジストリ値、ハッシュ値をキーとして利用できる。

　さらに、通信やプロセス、レジストリ関連イベントの統計を取り、端末ごとに結果を確認することも可能で、監視機能では確認できないイベントを見つけるのに役立つ。

SysmonSearchは、GitHubからダウンロードできる。

（川原 龍人/びぎねっと）

［関連リンク］
リリースアナウンス