Skip to content

イベントログ ノート

Windows イベントログのバイナリ形式、フォレンジックで重要な Event ID、トリアージ ワークフローに関する短いメモ集です。EVTX ファイルの内部構造、チャンクとテンプレートの仕組み、BinXML が記録をどのように圧縮するかを扱います。インシデント レスポンス、脅威ハンティング、ログ レビューに役立つ実用的な情報を中心にまとめています。すべての記事は、Event Viewer の画面ではなく、実際のフォレンジック作業で必要となる詳細に焦点を当てています。新しいメモは随時追加されます。

未割り当て領域、pagefile、メモリからの EVTX レコードのシグネチャ カービング。そして、ライブログに必要なものが欠けているときに、不正形式チャンクを上手に扱うツール群。
実際の敵対者ツールが Windows 環境でホスト間を移動する仕組みと、PsExec、Impacket、WMIExec を捕える Security.evtx の正確なイベント ID の組み合わせ。
攻撃者が Windows イベント ログをどうクリアするか、ディスク上と転送チャネルにどんな証拠が残るか、そして wevtutil cl と Invoke-Phant0m のようなスレッド停止ツールの違い。
EVTX バイナリ形式の実務ツアー: ファイル ヘッダー、ELFCHNK チャンク、BinXML テンプレート、置換配列、そしてこれをパースするのが見た目より難しい理由。
インシデント レスポンス中の Windows イベント ログ トリアージのための実務家の操作順序 — どのチャネルが重要か、どの Event ID が嘘をつくか、Sysmon がどこで重労働をするか。
PowerShellのモジュールロギング、スクリプトブロックロギング、トランスクリプト、AMSIバッファの実用的な違いと、本当に役立つものを有効にするGPO設定について。
Sysmonに関する意見: IRで本当に重要なイベントID、なぜolafhartong/sysmon-modularが正しいベースラインなのか、そして実際の攻撃に対してあなたを盲目にする設定ミス。
4663 はアクセスごとに発生するオブジェクト監査レコードです。適切なファイルとキーに SACL を設定すれば、誰が何に触れたかを 1 バイト単位で記録できます。ランサムウェア、エクスフィル、資格情報ストア窃取に有用です。
4672 は、SeDebugPrivilege や SeTcbPrivilege のようなセンシティブな特権がログオンに与えられたときに発火します。「このログオンは管理者相当」のシグナルとして読めば、監査ポリシーの残りが整います。