2020.10.19
ae-002
マルウェアに感染して監査ログが消されてしまっていないかを知りたい
悪意のある攻撃者は、自身の痕跡を消すために、Windowsの監査イベントのログを消してしまうことがあるので、その状況を把握したい。
サイバー攻撃を受けていないかどうかを検知する方法として、攻撃者は自分の攻撃の痕跡を消すためにイベントログを消去して証拠隠滅を行うことがあるので、Active DirectoryのイベントID:1102のログを基に、監査ログの消去が行われる操作があった端末について集計します。
集計された操作が妥当なものかを検証することで、乗っ取りを受けた不正操作の可能性を調査することができます。ALog EVAのサイバー攻撃自動検知パックを利用すれば、監査ログの消去操作をグラフで分かり易くレポートできます。
ALog EVA サイバー攻撃自動検知パック
[区 分] セキュリティ
[環 境] Windows
[タ グ] サイバー攻撃, 不正アクセス, ログ解析
[関 連]