Windows イベントログ切り刻む Chainsaw ツールとは?

New Chainsaw tool helps IR teams analyze Windows event logs

2021/09/06 BleepingComputer — インシデント・レスポンダーやブルー・チームは、Windows のイベントログ記録の検索を高速化し、脅威を特定するための、Chainsaw という新しいツールを手に入れた。このツールは、セキュリティ関連業務における、最初の対応ステップを支援するために設計されており、ブルーチームの調査でエントリをトリアージする際にも役立つ。

インシデント・レスポンダー向け

Windows のイベントログは、システムの活動をレコードとして記録するものであり、アプリケーションやユーザーのログインに関する詳細が含まれている。フォレンジック調査員は、関心のあるイベントのタイムラインを作成するために、これらの記録を主な証拠として利用する。

これらのレコードをチェックすることの難しさは、特にログレベルの高いシステムでの大量のレコード処理が、関連する情報の選別に膨大な時間を要求する点にある。F-Secure の Countercept Lead Threat Hunter である James D が作成した Chainsaw は、Rust ベースのコマンドライン・ユーティリティであり、イベントログの調査において、脅威を示す可能性のあるエントリや文字列をハイライト表示する。

このツールは、Sigma のルール検出ロジックを用いており、調査に関連するイベントログを素早く見つけ出せる。F-Secure によると、Chainsaw は侵害時において検知/対応ソリューション (EDR : Endpoint Detection and Response) が存在しない環境で、イベントログを迅速に分析する点に特化しているという。このような状況において、脅威ハンターやインシデント・レスポンダーは、Chainsawの 検索機能により、Windows ログから悪意の活動に関連する情報を抽出できる。このツールは、以下の機能を提供する。

・イベント ID/キーワード/正規表現パターンによるイベントログの検索
・Windows Defender/F-Secure/Sophos/Kaspersky アラートの抽出/解析
・主要なイベントログが消去/停止した場合の検出
・機密性の高いユーザー・グループでの特定ユーザーの検出
・ローカル・ユーザー・アカウントの徹底的な調査
・RDP ログイン/ネットワーク・ログインなど

オープンソース・ツールとして提供される Chainsaw は、EVTX パーサー・ライブラリの利用に加えて、F-Secure Countercept の TAU Engine ライブラリが提供する、検出ロジック・マッチングを使用している。解析結果は、ASCII テーブル/CSV/JSON などで出力できる。

実は、明日もイベントログに関する記事をポストする予定なのですが、そこには「SCM (Security Configuration Management) と、FIM (File Integrity Monitoring) を活用することで、これらのリスクに対処し、攻撃対象を減らすことができる。しかし、それらがカバーするのは、自社の環境の一部でしかない」と記されています。つまり、IT 環境の中で何が起こっているのかを可視性するには、ログ管理が必要になるということなのでしょう。セキュリティの視点が、静的なものから動的なものへと、変化していく予感がします。

%d bloggers like this: