Windowsのイベントログ(Security)を見る③ ~セキュリティIDの見方~
先日公開したイベントログの記事へのアクセスの多さに驚いております…。
メインコンテンツはハニーポットの観測だったつもりですが…。
イベントログの見方で困っているのは、私だけではなかったんですね!
これからも、少しでも、イベントログの解析に役立つ情報を発信していけたらなと思います!
今日は、いろいろなところで出てくるセキュリティID(S-1-5といった記号のようなもの)の見方について、ご紹介します。
- セキュリティID(SID)とは
- セキュリティID(SID)の法則
- Universal Well Known SID
- Well Known SID
- S-1-5-1 Dialup
- S-1-5-2 Network
- S-1-5-3 Batch
- S-1-5-4 Interactive
- S-1-5-5-x-y Logon Session
- S-1-5-6 Service
- S-1-5-7 Anonymous Logon
- S-1-5-9 Enterprise Domain Controllers
- S-1-5-11 Authenticated Users
- S-1-5-13 Terminal Server Users
- S-1-5-15 This Organization
- S-1-5-18 Local System
- ローカルグループ SID
- S-1-5-32-544 Administrator
- S-1-5-32-545 User
- S-1-5-32-546 Guest
- S-1-5-32-547 Power User
- S-1-5-32-548 Operator
- S-1-5-32-549 Server Operator
- S-1-5-32-550 Print Operator
- S-1-5-32-551 Backup Operator
- S-1-5-32-552 Replicator
- ドメイン SID
- S-1-5-21-(ドメインごとに設定された数値)-500 Administrator
- S-1-5-21-(ドメインごとに設定された数値)-501 Guest
- S-1-5-21-(ドメインごとに設定された数値)-512 Domain Admins
- S-1-5-21-(ドメインごとに設定された数値)-513 Domain Users
- S-1-5-21-(ドメインごとに設定された数値)-514 Domain Guest
- S-1-5-21-(ドメインごとに設定された数値)-515 Domain Computer
- S-1-5-21-(ドメインごとに設定された数値)-516 Domain Controller
- S-1-5-21-(ドメインごとに設定された数値)-1000~
- まとめ
続きを読む
【ハニーポットの検証】ハニーポット設置182日目 ~6月の危険なユーザ名、パスワード上位50位~
先日、イベントログの記事を書いたところ、普段50~よくて100程度のPVしかない、このブログが、1日で1,300弱のPVを記録するという、奇跡のような1日がありました。
これからも、皆様に見ていただけるような記事を頑張って書いていければいいなと思います!
今日は、毎月、月の頭には恒例にしつつある危険なユーザIDとパスワードをご紹介します。
- 6月の危険なユーザ名・パスワード上位50
- 危険なユーザ名 TOP50
- 危険なパスワード TOP50
続きを読む
Windowsのイベントログ(Security)を見る② ~ログオン成功とログオン失敗~
Windowsのイベントログ(Security)を見る① ~Microsoft Message Analyzerのススメ~
【ハニーポットの検証】ハニーポット設置175日目 ~W杯は続く 攻撃は続く?~
今週も1週間、様々な出来事がありました。
サイバーセキュリティに従事する岡本氏の刺殺事件は非常にショッキングな出来事でした。直接関わったことはありませんが、同じサイバーセキュリティに関係する者として、ご冥福をお祈りします。
また、プリンスホテルを含め、非常に多くのホテルを巻き込んだファストブッキングの情報漏洩もありました。
これは、いつものごとく、ものすごい情報収集力でpiyokangoさんがまとめられています。
そして、今日は初めてMacを使って記事を更新しています。
ノートなのでどこでも記事がかけるのがいいですね。ただ、マルチモニタなしはきついので、HDMIポートを取り付けいないと…。
続きを読む
【ハニーポットの検証】ハニーポット設置169日目 ~攻撃増加は地震の影響か、W杯の影響か~
この1週間、いろいろなことがありましたね。
今は異動で別の場所にいますが、出身が大阪でしたので、大阪の地震は本当に驚きました。被災地の方々には、1日でも早い復興をお祈りしています。
大阪の地震に便乗して、フィッシングメール等を送り付けてくるやつがいるようです。災害に便乗する最低なメールに怒りを覚えます。
また、他人のPCを使用して仮想通貨のマイニングを行っていた人が逮捕されたというニュースもありました。賛否両論、様々な意見がありますが、個人的には逮捕には賛成です。
こちらの記事にも書きましたが、もともと私は他人のPCのマシンパワーを使用してマイニングするという行為には批判的でした。
このブログで最も閲覧回数が多いのもこちらの記事ですので、やはり皆様、興味はあるんだなと感じていましたが、ぜひcoinhive等のマイニングを好意的に捉えている方と議論してみたいですね。
- 本日の攻撃状況
- 突出したCowrie
- 突出したhoneytrap
続きを読む
【ハニーポットの検証】ハニーポット設置163日目 ~port80にmiraiは来ているか?~
本日、職場で仕事終わりに有志のメンバーで「セキュリティ専門家人狼」をやってみました。
内容は普通の人狼ですが、名称がセキュリティ専門家になっているだけで、聞きなれない人からは難しさ倍増だったようですが、終わるころにはみんな言葉に慣れているようでしたね。
セキュリティ専門家の仕事のさわりを知るには、ちょうどいいかもしれません。
最近、マルウェア付きのバラマキメールを収集したいと考えているのですが、なかなかいい方法が思いつきません。
そこで、このブログのどこかにハニーポットとしてメールアドレスを記載することにしました。ロボット収集で集められることを意識し、ブログ内に隠していますので、ご興味のある方は、ぜひ見つけてみてください…簡単ですが笑
- 本日の攻撃状況
- Port:80のログ
- Suricataのデータ
続きを読む