未分類– category –

ランサムウェアやウイルス感染の際に、最も心配されるのは被害の拡大です。しかし、ランサムウェアの脅迫状や、暗号化され変更されたファイルの拡張子の状態を知らなければ、「何かおかしいな？」で終わってしまいます。ランサムウェアが常態化した現代に...

対象 Level 0 は、すべての組織、施設でランサムウェア対策として、"今すぐに実施するべき内容" をまとめてあります。また、インターネット接続がされている組織、施設では、"必ず Level 1 も実施" してください。また、Level 0 はインターネット接続のな...

Mimikatz は、侵害後（post-exploitation）に Windows の認証情報（NTLM ハッシュ、Kerberos チケット等）を抽出・悪用するために利用される代表的ツールです。ランサムウェアでは、横展開（Lateral Movement）や特権維持のために「資格情報の窃取」が重要...

Built In Administrator の SID Windows では、ユーザーやグループを内部的に識別するために SID（Security Identifier） が使われます。SID はユーザー名ではなく、内部で一意に固定される識別子であり、名前変更しても変わりません。ACL によるアクセス...

リファレンス：System 「システム」監査は、OSのセキュリティ設定やシステムレベルのイベントを記録するカテゴリです。簡単に言うと、セキュリティログの整合性やシステム状態の変更を監視するための監査です。 攻撃者は痕跡を隠すためにログを消去したり...

リファレンス：Privilege Use 「特権の使用（Privilege Use）」監査は、ユーザーやプロセスが特権（管理者権限やシステム権限）を利用した操作を記録するカテゴリです。簡単に言うと、重要な権限を使った行為を追跡し、権限乱用や不正操作を検知するための...

リファレンス：Policy Change 「ポリシーの変更」監査は、システムのセキュリティポリシーや監査ポリシーが変更されたときに記録するカテゴリです。簡単に言うと、誰が、いつ、どのポリシーを変更したかを追跡するための監査です。 攻撃者は、痕跡を隠すた...

リファレンス：Object Access 「オブジェクトアクセス（Object Access）」は、ファイル、フォルダー、レジストリキー、プリンターなどのシステムリソースへのアクセスを監査するカテゴリです。簡単に言うと、誰がどのオブジェクトにアクセスしたか、成功・...

リファレンス：DS Access DS（Directory Service）アクセスは、Active Directoryのオブジェクト（ユーザー、グループ、OUなど）に対するアクセスを監査するカテゴリです。簡単に言うと、誰がADのオブジェクトにアクセスしたか、どんな操作をしたかを記録す...

リファレンス：Detailed Tracking プロセスの作成・終了、ハンドル操作、RPCイベントなどの詳細なアクティビティを記録する機能です。以下の点に着目します。 不審なプロセス実行powershell.exe、cmd.exe、wmic.exe、rundll32.exe の異常な利用コマンドラ...