拡張されたSysmon

ほぼこもセキュリティニュース By Terilogy Worx

ここのところ、新しいマルウェアの話が続いています。
たまには明るいほうの話題は何かないのかと思っていたところで、Sysmonの拡張のニュースがありました。

SysmonはSysinternalsシリーズの一つで、いわゆるシステムモニターです。
Windowsシステムサービスとデバイスドライバーとして実装されており、システムに一度インストールされると、システムの再起動後も常駐し、システムアクティビティを監視してWindowsイベントログに記録してくれます。
これ単体で使うということもできますが、ログ収集サーバにログを集めるようにし、そのログを監視することでシステムの強度を高めることに使えます。
このように組み合わせて利用することで、悪意のあるアクティビティや不審なアクティビティを監視して大事に至る前に対策を打てるようにしようということです。

こういった仕組みを考える場合、いくつかの重要な点があります。

  • 情報価値の高い事象の検出ができる
  • 安全のためのシステムそのものが改ざんに対して強い
  • 安定して動作する

他にもいくつもポイントとなる点はあるように思いますが、こういったところは特に重要です。

Sysmonをログの集中管理システムと組み合わせて利用する場合、これまでもこれらの点が実現できてきました。
しかし最近リリースされた新しいバージョンのSysmonでこれらの点がさらに改善されてきています。
見てみましょう。

  • FileExecutableDetected
    Sysmonは多くの種類の事象をとらえ、イベントとしてログに記録します。
    この記録可能な事象に、新しい事象が加えられました。
    実行可能ファイルの検出です。
    標準では有効ではありませんが、Sysmonに設定することで、指定したPATHに実行可能ファイルが作成された際に、それをブロックすることができるようになります。
    ブロックしたうえで、イベントログを生成します。
    これはマルウェア対策として価値の高い機能です。

     

  • Protected Process Light
    Sysmonは保護されたプロセスになりました。
    Sysmonに限らずこの種のソフトウェアは悪意ある活動者にとって厄介なものです。
    厄介なものは悪意ある活動の前に改ざんが試みられます。
    今回のSysmonの拡張でこの点に対策が打たれました。
    サービスが保護されたものとして起動されると、Windowsは信頼できるコードのみが保護されたサービスに読み込まれることを許可する動きとなります。
    また、Windowsは、管理プロセスからのコードインジェクションやその他の攻撃からこれらのプロセスを保護します。

価値ある情報を安定して収集し、その情報を適切に監視することで、よりよいシステム運用が実現できます。
Sysmonをすでに利用されている場合には新しいバージョンの利用を検討してみましょう。
まだ利用されていない場合はいい機会ですのでこの種の対策の導入の検討を開始してみてはいかがでしょうか。

参考記事(外部リンク):Sysmon 15.0 — File executable detected and PPL protection
medium.com/@olafhartong/sysmon-15-0-file-executable-detected-40fd64349f36

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。