TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

ログ解析 (まとめ)

【概要】

■主な文書の法定保存期間

◇人事/労務関係

文書 保管期間
健康保険、厚生年金保険、雇用保険に関する書類 2年
雇入れ・解雇・退職に関する書類 3年
健康診断個人票、医師の面談記録 5年


◇経理/税務関係

文書 保管期間
会計監査報告に関する書類 5年
資産の譲渡等または対価の返還等に関する帳簿、課税仕入等の税額の控除にかかる帳簿および請求書等 7年
会計帳簿および事業に関する重要書類 10年


◇総務/庶務関係

文書 保管期間
有価証券届出書・有価証券報告書およびその添付書類、訂正報告書の写し 5年
製品の製造、加工、出荷、販売の記録 10年
株主総会、取締役会、監査役会の議事録 10年


■PCIDSS(PCIDSS 3.2.1)

  • 監査証跡の履歴を少なくとも 1 年間保持する。
  • 少なくとも 3 カ月はすぐに分析できる状態にしておく


■保管期限

法律 内容
刑事訴訟法 第百九十七条 3 通信履歴の電磁的記録のうち必要なものを特定し、三十日を超えない期間を定めて、これを消去しないよう、書面で求めることができる。
サイバー犯罪に関する条約 第十六条 2 必要な期間(九十日を限度とする。)、当該コンピュータ・データの完全性を保全し及び維持することを当該者に義務付けるため、必要な立法その他の措置をとる。


■時効

法律 内容
不正アクセス禁止法 3年
電子計算機損壊等業務妨害罪 5年
電子計算機使用詐欺罪 7年


【ニュース】

◆ログ保存の義務化検討 サイバー犯罪捜査へ政府戦略 (朝日新聞, 2013/05/21 16:11)
http://www.asahi.com/politics/update/0521/TKY201305210114.html
https://malware-log.hatenablog.com/entry/2013/05/21/000000_6

◆IPA、企業における情報システムのログ管理の実態調査結果を公表 (マイナビニュース, 2016/06/10)
http://news.mynavi.jp/news/2016/06/10/391/
https://malware-log.hatenablog.com/entry/2016/06/10/000000_4

◆法定保存期間を超えてデータを長期保管すべき理由とは? (ワンビシアーカイブズ, 2017/03/22)
https://www.wanbishi.co.jp/blog/reason-long-term-archive-over-legal-period.html
https://malware-log.hatenablog.com/entry/2017/03/22/000000_8

◆Windowsのログ管理ツールをJPCERT/CCが公開、サイバー攻撃の挙動調査に役立つ (@IT, 2018/09/10 11:00)
http://www.atmarkit.co.jp/ait/articles/1809/10/news039.html
https://malware-log.hatenablog.com/entry/2018/09/10/000000

◆コインチェック、ログ監視の強化で米社サービス採用 (日経新聞, 2019/06/10 15:00)
https://www.nikkei.com/article/DGXMZO45886100Q9A610C1000000/
https://malware-log.hatenablog.com/entry/2019/06/10/000000_1

◆「無関係な記録が多すぎる」、SIEMが露呈したセキュリティ運用の限界とその解決策 (日経XTECH, 2020/06/10)
https://active.nikkeibp.co.jp/atcl/wp/b/20/06/03/00585/
https://malware-log.hatenablog.com/entry/2020/06/10/000000_11

◆コマンド一発でウェブサイトのアクセスログをターミナルやウェブブラウザで可視化できる「GoAccess」レビュー (Gigazine, 2020/06/13 15:00)
https://gigazine.net/news/20200613-goaccess/
https://malware-log.hatenablog.com/entry/2020/06/13/000000


【ブログ】

◆監査証跡の適切な保存期間はどれくらいか (WEEDS SYSTEMS, 2020/05/28)
https://www.weeds-japan.co.jp/column/20200528_518/
https://malware-log.hatenablog.com/entry/2020/05/28/000000_14


【公開情報】

◆ログを活用したActive Directoryに対する攻撃の検知と対策 (JPCERT/CC, 2017/07/28)
http://www.jpcert.or.jp/research/AD.html
https://malware-log.hatenablog.com/entry/2017/07/28/000000_6

◆マルウエアDatperの痕跡を調査する~ログ分析ツール(Splunk・Elastic Stack)を活用した調査~ (2017-09-25) (JPCERT/CC, 2017/09/25)
https://blogs.jpcert.or.jp/ja/2017/09/search-datper.html
https://malware-log.hatenablog.com/entry/2017/09/25/000000_8


【資料】

◆インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (JPCERT/CC, 2016/06/28)
http://www.jpcert.or.jp/research/20160628ac-ir_research.pdf
https://malware-log.hatenablog.com/entry/2016/06/28/000000_8

◆ログを活用したActive Directoryに対する攻撃の検知と対策(プレゼンテーション資料)(JPCERT/CC, 2017/03/14)
http://www.jpcert.or.jp/research/AD_presen_20170314.pdf
https://malware-log.hatenablog.com/entry/2017/07/28/000000_6

◆ログを活用したActive Directoryに対する攻撃の検知と対策 (JPCERT/CC, 2017/07/28)
http://www.jpcert.or.jp/research/AD_report_20170314.pdf
https://malware-log.hatenablog.com/entry/2017/07/28/000000_6


【論文】

◆ファイアウォールログを利用したマルウェア活動の検出手法について (NTTコミュニケーションズ, 2009/04/22)
https://www.iwsec.org/mws/2009/paper/A4-2.pdf
https://malware-log.hatenablog.com/entry/2009/04/22/000000

◆ログ解析によるマルウェア侵入検知手法の提案 (DICOMO2014, 2014/07/09)
https://ipsj.ixsq.nii.ac.jp/ej/?action=repository_uri&item_id=104943&file_id=1&file_no=1
https://malware-log.hatenablog.com/entry/2014/07/09/000000_1


【ツール】

◆GoAccess - Visual Web Log Analyzer (GoAccess)
https://goaccess.io/


【イベントID】

■セキュリティログ

EventID 備考
4624 アカウントが正常にログオンしました
4634 アカウントが正常にログオフしました
4648 明示的な資格情報を使用してログオンが試行されました
4656 オブジェクトに対するハンドルが要求されました
4658 オブジェクトに対するハンドルが閉じました
4660 オブジェクトが削除されました
4663 オブジェクトへのアクセスが試行されました
4720 ユーザー アカウントが作成されました
4768 Kerberos認証チケット(TGT)が要求されました
4769 Kerberosサービス チケットが要求されました
4672 新しいログオンに特権を割り当てました(4624の後に発生)
4673 特権のあるサービスが呼び出されました
4688 新しいプロセスが作成されました
4689 プロセスが終了しました
4698 スケジュールされたタスクが作成されました
4769 Kerberosサービス チケットが要求されました
4673 特権のあるサービスが呼び出されました
4946 Windows ファイアウォールの例外の一覧が変更されました(ファイアウォールへの設定変更)
5140 ネットワーク共有オブジェクトにアクセスしました
5142 ネットワーク共有オブジェクトが追加されました
5144 ネットワーク共有オブジェクトが削除されました
5145 ネットワーク共有オブジェクトに対する、クライアントのアクセス権をチェックしました(同イベントIDは数度記録される
5154 Windows フィルターリング プラットフォームで、アプリケーションまたはサービスによるポートでの着信接続のリッスンが許可されました
5156 フィルタリング プラットフォームによる接続の許可
5447 Windows フィルターリング プラットフォームのフィルターが変更されました(ファイアウォールへの設定変更)
8222 シャドウ コピーが作成されました


■システムログ

EventID 備考
7036 サービスの状態が移行しました
7045 サービスがシステムにインストールされました
20001


■アプリケーションログ

EventID 備考
21 リモートデスクトップ セッション ログオン成功)
24 リモートデスクトップ セッション 切断)
60
80 操作 Get の要求を送信しています
81 要求の処理
106 タスクが登録されました
129 タスクのプロセスが作成されました
132 WSMan の操作 Get が正常に完了しました
143 ネットワーク レイヤーから応答を受信しました
166 選択された認証機構
200 開始された操作
201 操作が完了しました
500 互換性修正プログラムが適用されています


■Sysmon

EventID 備考
1 Process Create
2 File creation time changed
5 Process Terminated
8 CreateRemoteThread detected:
9 RawAccessRead detected (ディスクの直接読み取りを検知)


■レジストリ

EventID 備考
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules Windowsファイアウォールの設定が変更
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS サービスの状態を確認可能
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySetting
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSetti
HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\Default\ リモートデスクトップの接続履歴
HKEY_USERS\[SID]\Software\Microsoft\Terminal Server Client\Servers\[接続先IPアドレス]\ 最後にアクセスしたアカウントドメイン及びユーザ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{[GUID]}.sdb
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\{[UAC回避に使用されるアプリケーション名]}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{[GUID]
HKEY_LOCAL_MACHINE\CurrentControlSet\Enum\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[Snapshot番号]
HKEY_USERS\[SID]\Software\Sysinternals\Sdelete 最初の使用時の同意