サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置197日目 ~メールハニーポットの設置完了~

ハニーポット(T-POT)

以前にも色々と助言を頂いていた@fatsheepさんが、ご自身のブログでT-POTの機能を使用してメールのハニーポットを設置したとの記事を掲載されていました。

fatsheep.hateblo.jp

これはもう、真似をするしか無い!ということで、私も設定を行うことにしました。

いつものハニーポットの攻撃情報とともに、ご紹介します。

 

 

続きを読む

Windowsのイベントログ(Security)を見る④ ~Microsoft Message Analyzerの簡単な操作方法~

イベントログ

先日記載したMicrosoft Message Analyzerの記事が、想像以上に好評のようで、いまだに多くのアクセスをいただいています。

そこで、私がMicrosoft Message Analyzerを使用する場合の操作方法を一部公開したいと思います。

  • Microsoft Message Analyzerの操作方法
    • ファイルオープン
      • ワンポイントテクニック①
      • ワンポイントテクニック②
    •  
    • ログ画面の整理
      • 項目の削除
      • グルーピング
      • 項目の追加方法
      • ログ画面の保存
      •  
続きを読む

【ハニーポットの検証】ハニーポット設置193日目 ~6月の攻撃の傾向は?~

ハニーポット(T-POT)

かなり久しぶりの更新になりました。

1週間近く出張に出ていた関係で、ハニーポットも稼働はさせていたものの、まったく内容を確認できていませんでしたので、久々にハニーポットの稼働状況も確認します。

 

 

続きを読む

Windowsのイベントログ(Security)を見る③ ~セキュリティIDの見方~

イベントログ

先日公開したイベントログの記事へのアクセスの多さに驚いております…。

メインコンテンツはハニーポットの観測だったつもりですが…。

イベントログの見方で困っているのは、私だけではなかったんですね!

これからも、少しでも、イベントログの解析に役立つ情報を発信していけたらなと思います!

今日は、いろいろなところで出てくるセキュリティID(S-1-5といった記号のようなもの)の見方について、ご紹介します。

 

  • セキュリティID(SID)とは
  •  
  • セキュリティID(SID)の法則
    • Universal Well Known SID
      • S-1-1-0 Everyone
      • S-1-2-0 Local
      • S-1-2-1 Console Logon
      • S-1-3-0 Creator Owner
      • S-1-3-1 Creator Group
    • Well Known SID
      • S-1-5-1 Dialup
      • S-1-5-2 Network
      • S-1-5-3 Batch
      • S-1-5-4 Interactive
      • S-1-5-5-x-y Logon Session
      • S-1-5-6 Service
      • S-1-5-7 Anonymous Logon
      • S-1-5-9 Enterprise Domain Controllers
      • S-1-5-11  Authenticated Users
      • S-1-5-13  Terminal Server Users
      • S-1-5-15  This Organization
      • S-1-5-18 Local System
    • ローカルグループ SID
      • S-1-5-32-544 Administrator
      • S-1-5-32-545 User
      • S-1-5-32-546 Guest
      • S-1-5-32-547 Power User
      • S-1-5-32-548 Operator
      • S-1-5-32-549 Server Operator
      • S-1-5-32-550 Print Operator
      • S-1-5-32-551 Backup Operator
      • S-1-5-32-552 Replicator
    • ドメイン SID
      • S-1-5-21-(ドメインごとに設定された数値)-500 Administrator
      • S-1-5-21-(ドメインごとに設定された数値)-501 Guest
      • S-1-5-21-(ドメインごとに設定された数値)-512 Domain Admins
      • S-1-5-21-(ドメインごとに設定された数値)-513 Domain Users
      • S-1-5-21-(ドメインごとに設定された数値)-514 Domain Guest
      • S-1-5-21-(ドメインごとに設定された数値)-515 Domain Computer
      • S-1-5-21-(ドメインごとに設定された数値)-516 Domain Controller
      • S-1-5-21-(ドメインごとに設定された数値)-1000~
  • まとめ

 

続きを読む

【ハニーポットの検証】ハニーポット設置182日目 ~6月の危険なユーザ名、パスワード上位50位~

ハニーポット(T-POT)

先日、イベントログの記事を書いたところ、普段50~よくて100程度のPVしかない、このブログが、1日で1,300弱のPVを記録するという、奇跡のような1日がありました。

これからも、皆様に見ていただけるような記事を頑張って書いていければいいなと思います!

 

今日は、毎月、月の頭には恒例にしつつある危険なユーザIDとパスワードをご紹介します。

 

  •  
  • 6月の危険なユーザ名・パスワード上位50
    • 危険なユーザ名 TOP50
    • 危険なパスワード TOP50

 

続きを読む

Windowsのイベントログ(Security)を見る② ~ログオン成功とログオン失敗~

イベントログ

今日は少し時間が空いたので、モチベーションのあるうちにもう1記事…。

今回は、ログオン成功とログオン失敗のログで、私が見ているポイントについてご紹介します。

 

  • イベントID:4624 アカウントが正常にログオンしました。
    • サブジェクト
    • ログオン情報
      • ログオンタイプ
    • 新しいログオン
    • プロセス情報
    • ネットワーク情報
  • イベントID:4625 アカウントのログオンに失敗しました
    • サブジェクト
    • ログオンタイプ
    • ログオンを失敗したアカウント
    • エラー情報
    • プロセス情報
    • ネットワーク情報
  • ログをみていてちょっと分かったこと
    • anonymous logonの正体
    • ログオン関係のログの確認方法
      • ログイン成功
      • ログイン失敗

 

続きを読む

Windowsのイベントログ(Security)を見る① ~Microsoft Message Analyzerのススメ~

イベントログ

先日、にゃん☆たくさん(@taku888infinity)のブログでWindowsイベントログの見方について記載がありました。 

mkt-eva.hateblo.jp

私もたまにWindowsのイベントログを見ることがありますが、「イベントログの見方」について紹介されているサイトが非常に少ないため、とても助かりました。

で、私も公開しておいたほうが、誰かしらの役に立つのではないかと言うことで、記事にしてみることにしました。

 

続きを読む