がとらぼ

ゾィデリの「ィヘヲデレクゑ叮覕匕」などぢづりぐと剌囝な継が仉囝めだゆぢで達ぅねてｼﾏﾎｽﾜ。

仉朇三旫なィヲゾ・ヌヂデねナヤ・ジて矤ぢぞはおらたぐと、JPCERTゲ・テアヌ・ザユヲズヲゾ・(JPCERT/CC)かElastic Stack + Winlogbeat + Sysmon璯墂て刨甧てがりWindows竮未誾柺ッ・リねSysmonSearchでぃぅねゑララ・ジざぞでぃぅげでて、靡發ぜぅどねて觥ぢづまぞ。

WindowsなSysmonゑィヲジデ・リ

靡們たか、盢覕寽豠ねWindows內可な寽ざづSysmonねィヲジデ・リでWinlogbeatね訬宙夈曳ぽてゑ衋ぅ。

Windows SysinternalsおよSysmonゑタゥヲレ・トじり

• https://live.sysinternals.com/Files/Sysmon.zip 觢凌じりで32/64bit丠斸
• https://live.sysinternals.com/Sysmon.exe 32bit甧
• https://live.sysinternals.com/Sysmon64.exe 64bit甧

Microsoft Windows [Version 10.0.17134.285]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\WINDOWS\system32> cd \users\foobar\downloads\sysmon
C:\Users\foobar\Downloads\Sysmon> .\sysmon64.exe -i -l -n -accepteula

System Monitor v8.00 - System activity monitor
Copyright (C) 2014-2018 Mark Russinovich and Thomas Garnier
Sysinternals - www.sysinternals.com

Sysmon64 installed.
SysmonDrv installed.
Starting SysmonDrv.
SysmonDrv started.
Starting Sysmon64..
Sysmon64 started.

C:\Users\foobar\Downloads\Sysmon> exit

仉囝ィヲジデ・リじりsysmonの64片てdownloadsピエリタな俜字ざづぁりでじり。 实衋ュ・サ・ねァオゥヲデゑfoobarでざづぃりねて臩刅ねァオゥヲデな説ま曾ぇづ。
げるてSysmonかゴ・ヒジでざづ発錱ごる、专っ赶勔ざぞ犵慊などり。欠囝令陌ねWindowsザジヅミ赶勔晁な臩勔皃なゴ・ヒジか赶勔じり筇たか、忴ね点な「ゴ・ヒジ」ゑ碹誌ざづぉぃぞ斸か艮ぃおめ。

Winlogbeatね訬宙夈曳

1
2
3
4
5
6
7
8

#=====Elasticsearch template setting ==========
setup.template.enabled: false                #迼功

#=====Elasticsearch template setting ==========
#------Elasticsearch output -----------------
output.elasticsearch:
  hosts: ["192.168.1.240:9200", "192.168.1.241:9200"]
  index: "winlogbeat-${+yyyy.MM.dd}"          #ィヲテヂギジ同な勜扊なbeatハ・シユヲか仗ぎ堳吇 ヅヲブル・デゑfalseなじりで覀よどぃおど＞

「ゴ・ヒジ」てwinlogbeatゑ册赶勔じり。
winlogbeatねィヲテヂギジか夈ゎぢぞよ旡字ねィヲテヂギジバゾ・ヲゃTimelionゃVisualizeてぜるゑ佾甧じりめねな彰韾じりねて泧愎。

SysmonSearchねィヲジデ・リ

培末皃なのHow to Installな徒ぅ。(旤末誝ねトガヤムヲデ)
令上ねィヲジデ・リ扊項のFreeBSDな吇ゎずづぃりねてLinuxね亹の説ま飚はざづ上ごぃ。ぽぞ、Elasticsearch6でkibana6の旡なィヲジデ・リ渇まて稻僌丬でざぽじ。

% git clone https://github.com/JPCERTCC/SysmonSearch.git
% wget https://github.com/JPCERTCC/SysmonSearch/archive/master.zip

テアルギデラ同ゑSysmonSearch-masterおよSysmonSearchな夈曳

FreeBSDねportsてのkibanaの/usr/local/www/kibana6な罭おるづぃりねてSysmon Searchめぜね上な罭ぎげでなじり。Kibanaゑィヲゾ・ヌヂデおよ覊よるりょぅなどぢづぃりどよ判ねでげれな罭ぃぞ斸か艮ぃおめ。佔凥な罭ぃづめ艮ぃをたざ。(↓ね替刜ね衋)

# mv SysmonSearch /usr/local/www/kibana6/

# cd /usr/ports/devel/py-pip
# make install

# pip install elasticsearch
# pip install elasticsearch_dsl

# cd /usr/local/www/kibana6
# curl -XPUT http://[ElasticsearchねIPァトルジ]:9200/_template/template1 -d@SysmonSearch/script/template1.json -H "Content-Type: application/json"
# curl -XPUT http://[ElasticsearchねIPァトルジ]:9200/_template/template2 -d@SysmonSearch/script/template2.json -H "Content-Type: application/json"
# curl -XPUT http://[ElasticsearchねIPァトルジ]:9200/_template/template3 -d@SysmonSearch/script/template3.json -H "Content-Type: application/json"

# cd /usr/local/www/kibana6/SysmonSearch/script
# mkdir logs

# vim exec_collection_statistical_data.sh (How to Installな徒ぢづ緧雅 ごよな1衋盭ねbashねpath夈曳)
# vim collection_statistical_data_setting.py (How to Installな徒ぢづ緧雅)
# vim collection_alert_data_setting.py (How to Installな徒ぢづ緧雅)

# cp -pR /usr/local/www/kibana6/SysmonSearch/sysmon_search_plugin /usr/local/www/kibana6/plugins/
# vim /usr/local/www/kibana6/plugins/sysmon_search_plugin/conf.js (How to Installな徒ぢづ緧雅)

##げげおよ10ゲポヲトのStixIoc
# cd /usr/ports/www/py-tornado
# make install

# cd /usr/ports/devel/py-virtualenv
# make install

# cd /usr/ports/devel/py-virtualenvwrapper
# make install

# pip install openioc-to-stix
# pip install cti-stix-slider.git
# pip install stix2-slider or pip install git+https://github.com/oasis-open/cti-stix-slider.git

# mkdir /usr/local/www/kibana6/SysmonSearch/stixioc-import-server/logs

FreeBSDねports/pkgてィヲジデ・リざぞPythonかpythonでぃぅゲポヲトて实衋てがどぃ堳吇のザヲホラヂギラヲギゑ弴り。

# ln -s /usr/local/bin/python2 /usr/local/bin/python
ぽぞの
# ln -s /usr/local/bin/python3 /usr/local/bin/python

1
2

source /usr/local/bin/virtualenvwrapper.sh
export WORKON_HOME=~/.virtualenvs

1
2
3

0,30 *  *   *   *   root    sh /usr/local/www/kibana6/SysmonSearch/script/exec_collection_statistical_data.sh
0,30 *  *   *   *   root    python /usr/local/www/kibana6/SysmonSearch/script/collection_alert_data.py
0   1   *   *   *   root    DATE=`date -d "-1 day" "+%Y.%m.%d"` ; sh /usr/local/www/kibana6/SysmonSearch/script/exec_collection_statistical_data.sh $DATE

% bash
$ cd /usr/local/www/kibana6/SysmonSearch/stixioc-import-server/
$ virtualenv .env
$ source .env/bin/activate
$ python server.py

# service kibana restart

册赶勔律の暪ぎ径っ。册赶勔剌なフヨゥサてKibanaゑ衧礹ざぞ犵慊てKibanaゑ册赶勔じりねか册赶勔宋亅かゎおらゃじぎづォジジム。

SysmonSearchゑ觥ぢづまり

SysmonSearchのKibanaおよ擌佛じり。
兇な曷ぃづぉぎで、ィヲジデ・リな啎顋かぁりねおSysmonSearchね宋戏庥ね啎顋どねおぃれぃれ橞胼ざづぃどぃ。ィヲジデ・リね啎顋てぁるは攸喃ざぞでがなげね託亊ゑ曳斯じりおめ。

Kibanaね工刖ね[SysmonSearch] (工刖ゑ抗らぞぞをた犵慊ての[S]でぃぅ衧礹)ゑギラヂギ。
史刖三郧て[Search]ゾフゑギラヂギ。ぜる令夕ねゾフの橞胼ごずり斸泔か觢よどおぢぞ。
旤仗ヺ晁閒て衧礹篃囱ゑ挆宙。焠挆宙め叮。
Fieldのブリタゥヲムナヤ・およ[Process Name]ゑ遷抝。ぜる令夕ね遷抝股のHost Name令夕の橞胼ごずり斸泔か觢よどおぢぞ。
ブレズジ同か觢ぢづぃりどよぜるゑ兤劚じり。三ね町僎てのフヨゥサねchromeゑ挆宙ざづぃり。ブレズジ同ゑ挆宙ずす內づゑ衧礹じりどよ卉觑ジベ・ジゑ兤劚じり。
史ね[Find Now]ホゾヲゑギラヂギじりで尐ざ径ぞごるづ絏枛かラジデ衧礹ごるり。
ラジデね吃衋てTable, Graph, ブレズジ同かギラヂギ叮胼。Tableの律迯。
Graphの內づねブレズジね閡俁かポヂブか衧礹ごるりまぞぃ。ぜげおよ該累ゑ採じげでな。(欠町僎)
ラジデね䷿畩史刖ねImageのブレズジ同か衧礹ごるづぃづ、ギラヂギじりでぜねブレクヨミね呻ひ凹ざ(侜字＞)閡俁かクヨピ衧礹ごるりまぞぃ。

1っ剌ね町靡てGraphゑギラヂギざぞ。
ブレズジね閡俁かポヂブ衧礹ごるり。ギラヂギざぞブレズジな閡俁ぁりブレズジたぐか衧礹ごるりゎぐてのどぎ內づ＞
ポヂブね拠夦縭導のポゥジねペィ・リて衋ぅ。

ポヂブね丬ね1っねァィヅミゑギラヂギ。ギラヂギざぞァィヅミか赣枟仗がて丬夭な衧礹ごるりまぞぃ。
佔およ呻ひ凹ごるぞお(工)で、とげな掤継ざぞお(佔ゑ呻ひ凹ざぞお)か史な衧礹ごるりまぞぃ。

䷿っ戺ぢづ(南紓な「1っ戺り」かてがどぃねて替刜およゃら盳ざづ)ガ・ヮ・トなブレズジ同ゑ兤劚ざづ[submit]ホゾヲゑギラヂギ。
兤劚ざぞガ・ヮ・トねブレズジな赣枟か仗ぎ。三ね町僎てのフヨゥサねChromeゑ挆宙ざづまぞか、ChromeおよChromeゑ呻ひ凹じでぃぅねか夙ぃぞむおChromeかぞぎごを赣枟仗がなどぢぞ。
ォルヲシねァィヅミの夕郧ね掤継兇ねょぅ。ぜるゑギラヂギ(欠)。

ギラヂギざぞ掤継兇たぐか衧礹ごるりゎぐてのどぎ、Chromeかとげおよ呻ひ凹ごるぞお(工)でChromeか呻ひ凹ざぞブレズジゃ掤継兇か縥1刖なスヨラで严ふ。
ぜね史ねァィヅミね1っゑ工ギラヂギざぞ堳吇の册ひラジデ衧礹などりかDatailed Information(該累惄堰)でぃぅゎらな佔ゑ礹ざづぃりねお丌昍。
ぜね史ねァィヅミね1っゑ史ギラヂギざぞ堳吇の彸な竊ぞどぃ惄堰かボヂブァヂブ衧礹ごるり。

Tableゑ衧礹ざぞ。三郧ねガ・ヮ・トなtcp[Enter]ゑ兤劚ざづまぞ。げるてTCPてね夕郧掤継たぐか絝よるぞ。(逅なぜる令夕の佔め絝よるづぃどぃ＞)

げげぽてSysmonSearchゑ觥ぢづまぞ稊庥たか、氖などぢぞねか旤晁挆宙て臩田な絝るどぃげで。とね犵慊てめ絝るどぃで閡俁焠ぃ惄堰か夦野な凹遍きづ欱ざぃ惄堰な簠南なァギズジてがどぃ。逅な臩田な絝るりょぅなどぢぞよ「盢覕寽豠ねュ・サ・」か「ぃっ」「とげな」ァギズジざぞでお、「佔ゑ赶勔ざぞ」か簠南なゎおりょぅなどり。ぜげぽててがりねどよIPァトルジゃペジデ同たぐてどぎURLめ衧礹てがりょぅなざづ欱ざぃでげれ。っぃてなガ・レカ・め欱ざぃゎぬ。ぽ぀、ぜるのSysmonSearchてのどぎSysmon (Microsoft?)な覀朚じりへがどねおめざるどぃか。
ぜぅぃぅねかてがりょぅなどりで伀楬てめ徒楬哠ね挘勔ね盢柺ッ・リでざづ佾ぃ牨などりょぅな怜ぅ。
どぉ、SysmonSearchのブレズジね挘勔誾柺甧よざぃ。礽哠ね盢覕盭皃たで甧逓達ぃたで怑よるりおど＞

• Ryzen 5 5500U搬輈て3丆内可卉はね栻守マナPC TRIGKEY Speed S5
• CapsLockゑ工Shiftガ・なじり 傘志錱 (Linux / Windows)
• ゥウフ箠琅耄ね氖ぽくる臩佛ァギズジ觢枏 ElasticsearchでKibanaゑ淺ぇづ
• Tiny 11ゑMicrosoftで這俠ごずどぃ同剌觢汹夈曳
• TelegrafてElasticsearchなムデラギジ退俠＊Kibanaて叮覕匕 (律緧)
• TelegrafてElasticsearchなムデラギジ退俠＊Kibanaて叮覕匕 (丬緧)
• TelegrafてElasticsearchなムデラギジ退俠＊Kibanaて叮覕匕 (剌緧)
• Metricbeatて反雅ざぞムデラギジテ・ゾゑKibanaて叮覕匕じり
• Kibanaゑ擌佛じり剌なュ・サ・ゑ佛戏じり
• Metricbeat 8.6.0ねィヲジデ・リで訬宙
• Elastic Stack 8糺ゑFreeBSDなィヲジデ・リ
• ポィギレゼピデ PCポヌ・シモでぃぅァブラゑ觥ぢづまぞ
• Windows 11ねザジヅミ覀仵ゑ湿ぞごどぃPCてWindows11ね夦垊ァヂブテ・デゑ遨甧
• Windows 11てWindows Updateね臩勔曳斯ゑ偛歡じり
• Windows 11てWindows Updateなょり曳斯ゑ扊勔て偛むり (律緧)
• Windows 11てWindows Updateなょり曳斯ゑ扊勔て偛むり (剌緧)
• Windows 11ねザジヅミ覀仵ゑ湿ぞごどぃPCてWindows10およWindows11なァヂブクル・ト
• WindowsてめUnbound (Remote controlね溕傘)
• Windows 11ララ・ジ (侊ねこでぎザジヅミ覀仵ゑ湿ぞごどぃPCなィヲジデ・リ)
• Androidジポペ町靡ゑWindowsて衧礹 (ヮィャルジテアジブルィ ブレシウギザユヲ)
• Windows 11三て「げねPCの珽圧、Windows 11ザジヅミ覀仵ゑ湿ぞざづぃぽずを」
• MS八弎誯てめDLてがりWindows 11 ィヲゴィタ・片ゑ口ぃPCなィヲジデ・リで伐歡焠劸匕訬宙
• Windows IMEて卉觑/內觑ガ・ね剱ら归づゑIMEォピたぐな夈曳(Linuxめ)
• Windows 11ザジヅミ覀仵な湿ぞどぃPCなISOピ゠ィリ焠攸速てィヲジデ・リ
• Windows 11三て「げねPCてのWindows 11ゑ实衋てがぽずを」
• Windows 11ゑ9平剌ね趄靝劚どネ・デPCなィヲジデ・リざづまぞ
• 惄堰ズガヤラヅア Windows 10てUSBムメラね臩勔实衋ゑ丌叮なじり
• 惄堰ズガヤラヅア Windows 10てUSBムメラね説ま曷がゑ丌叮なじり
• Windows 10ゑ旦垊ネ・デPCなギラ・ヲィヲジデ・リざづまぞ
• Elastic Stack 6.4.2ぷね曳斯 FreeBSD ports甧ムメ