サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

Windowsのイベントログ(Security)を見る① ~Microsoft Message Analyzerのススメ~

イベントログ

先日、にゃん☆たくさん(@taku888infinity)のブログでWindowsイベントログの見方について記載がありました。 

mkt-eva.hateblo.jp

私もたまにWindowsのイベントログを見ることがありますが、「イベントログの見方」について紹介されているサイトが非常に少ないため、とても助かりました。

で、私も公開しておいたほうが、誰かしらの役に立つのではないかと言うことで、記事にしてみることにしました。

 

Microsoft Message Analyzerのススメ

「イベントログを見る」と聞くと、Windowsに最初から搭載されている「イベントビューアー」を使って見るという方がほとんどではないでしょうか。

私もはじめは「イベントビューアー」を使用していましたが、私が使いこなせていないのもあるんでしょうが、非常に使い勝手が悪かったんですよね。

そのため、私がイベントログを確認する際には「Microsoft Message Analyzer」を使用しています。

Microsoft Message Analyzerとは

Microsoft Message Analyzerは、Microsoftが無償で提供してるネットワーク・プロトコル・アナライザーです。

有名な「WireShark」に近い存在と考えると、分かりやすいかもしれませんね。

Microsoft Message Analyzerで検索すると、ネットワークをモニタリングする(パケットキャプチャ)という記事が多く見つかり、肝心のイベントログについてはほとんど出てきません。

しかし、Microsoft Message Analyzerにイベントログのファイル(*.evtx)を読み込ませることで、イベントログの中身を確認することができます。

Microsoft Message Analyzerのインストール

Microsoft Message Analyzerは、Microsoftの公式サイトからダウンロードしてインストールします。

Download Microsoft Message Analyzer from Official Microsoft Download Center

なお、この記事を作成している時点(2018年7月1日)では、英語版しか提供されていません。しかし、私は英語が読めませんが、なんとか使えていますので、英語に自信がない方も、おそらくなんとかなります。

ファイルをダウンロードしたら、あとはそれを実行するだけでインストールが完了します。

注)ダウンロードはMicrosoftの公式サイトから行ってください。Microsoftではないサイトからダウンロードした場合、マルウェアがダウンロードされたという事象も確認できています。

Microsoft Message Analyzerでできること

ここまで、Microsoft Message Analyzerをおすすめしていますが、その理由は以下のとおりです。

①表示する情報を取捨選択できる。

 イベントビューアーで見ることができる情報は、こんな感じですよね。

f:id:tk-secu:20180701115936p:plain

 少なくとも、私は表示できる情報を増減させる方法が分かりません。

 しかし、Microsoft Message Analyzerでは、このように表示する情報を増減させることができます。

 1)初期表示

f:id:tk-secu:20180701120155p:plain

 2)不要な部分を削除し、ユーザ名とログオンタイプを追加した表示

f:id:tk-secu:20180701120426p:plain

②情報をグルーピングできる。

 私が個人的に最も使用しているのが、この情報をグルーピングする機能です。

 イベントIDでグルーピングしたのが、以下の画像になります。

f:id:tk-secu:20180701120531p:plain

 これを見ると、件数の多いイベントIDが一目でわかります。

 この画像だと、イベントID:4624(アカウントが正常にログオンしました)という件数が404件とそこそこ多いことが分かります。

f:id:tk-secu:20180701120735p:plain

 また、このように、複数グループの設定も可能です。これは、イベントIDのグルーピングをしたのちに、ユーザIDでグルーピングした図になります。

 こうすることで、例えば「anonymous login」の件数などを一目で知ることができます。

③レイアウトの保存

 このように、様々なレイアウトを組むことができるのですが、これらを保存する機能もあります。

 そのため、ケースごとにレイアウトを保存していると、手作業でレイアウトを変更するより効率的に様々な情報を探すことができます。

 

まとめ

Microsoft Message Analyzerは、使い方次第で見づらいイベントログを効率よく見ることができるツールです。

実際の使用方法は、知りたい方が多いようであれば、後日、記事にまとめたいなぁとは思いますが、まずは実際に触ってみて、イベントビューアーと比較していただくと、その機能差がよくわかるかと思います。