2020.10.19

ae-002

マルウェアに感染して監査ログが消されてしまっていないかを知りたい

悪意のある攻撃者は、自身の痕跡を消すために、Windowsの監査イベントのログを消してしまうことがあるので、その状況を把握したい。

サイバー攻撃を受けていないかどうかを検知する方法として、攻撃者は自分の攻撃の痕跡を消すためにイベントログを消去して証拠隠滅を行うことがあるので、Active DirectoryのイベントID:1102のログを基に、監査ログの消去が行われる操作があった端末について集計します。

ae-002
集計された操作が妥当なものかを検証することで、乗っ取りを受けた不正操作の可能性を調査することができます。

ALog EVAのサイバー攻撃自動検知パックを利用すれば、監査ログの消去操作をグラフで分かり易くレポートできます。


ALog EVA サイバー攻撃自動検知パック


← 前のページ→ 次のページ

[区 分] セキュリティ
[環 境] Windows
[タ グ] サイバー攻撃, 不正アクセス, ログ解析

[関 連]
  • ファイアウォールで拒否された通信の集計したい
  • 大量のファイルアップ&ダウンロード回数の操作を把握したい
  • システム監査ポリシーの変更操作を把握したい
  • 予期しないログオン要求が大量に発生していないか確認したい
  • Amazon EC2を最適なサイズで利用したい
  • アマゾン ウェブ サービス (AWS)の請求額の部門毎の負担額を知りたい
  • 参照可能期間の短いOffice365の監査ログを長期間保管したい
  • AWS環境のVCPのリソース構成を把握したい
  • Boxの利用状況を把握したい
  • アプリケーション指定のような特定の条件でのみ、操作ログを録画したい
  • 指定したユーザ操作を検知し管理者にメール送信を行いたい
  • 異常なPC操作検知後の調査を迅速にしたい
  • テレワークで使用するPCのログオン状況を監視したい
  • 物理トークンやスマホを携帯せずにワンタイムパスワードを運用したい
  • 許可された機器のみ使用できるように認証時にアクセス制限をしたい
  • 頻繁なパスワード変更に悩まされることなく簡単にログインしたい
  • SalesforceやOffice 365等、様々なシステムにシングルサインオンできる仕組みを構築したい
  • テレワークでPC操作のセキュリティポリシーを適用したい
  • PCの稼働状況や違反件数を集計してグラフ化したい

  • ▼お客様の課題に対するご相談は、お気軽にお問合せください お問合せ