Search
Search the blog.
削除された EVTX レコードのカービングとロールオーバー ログの復元
未割り当て領域、pagefile、メモリからの EVTX レコードのシグネチャ カービング。そして、ライブログに必要なものが欠けているときに、不正形式チャンクを上手に扱うツール群。
Security.evtx でラテラル ムーブメントを検知する
実際の敵対者ツールが Windows 環境でホスト間を移動する仕組みと、PsExec、Impacket、WMIExec を捕える Security.evtx の正確なイベント ID の組み合わせ。
イベント ログ クリアと、生き残るギャップ
攻撃者が Windows イベント ログをどうクリアするか、ディスク上と転送チャネルにどんな証拠が残るか、そして wevtutil cl と Invoke-Phant0m のようなスレッド停止ツールの違い。
EVTX ファイル形式の解読
EVTX バイナリ形式の実務ツアー: ファイル ヘッダー、ELFCHNK チャンク、BinXML テンプレート、置換配列、そしてこれをパースするのが見た目より難しい理由。
EVTX トリアージ: 1 時間と 1 台のホストがあるときに最初に読むもの
インシデント レスポンス中の Windows イベント ログ トリアージのための実務家の操作順序 — どのチャネルが重要か、どの Event ID が嘘をつくか、Sysmon がどこで重労働をするか。
PowerShellロギング: モジュールロギングとスクリプトブロックロギングを有効にすると何が得られるか
PowerShellのモジュールロギング、スクリプトブロックロギング、トランスクリプト、AMSIバッファの実用的な違いと、本当に役立つものを有効にするGPO設定について。
実際の攻撃者を捕らえるSysmon設定
Sysmonに関する意見: IRで本当に重要なイベントID、なぜolafhartong/sysmon-modularが正しいベースラインなのか、そして実際の攻撃に対してあなたを盲目にする設定ミス。
Event ID 4663 を解説: SACL によるファイルとレジストリのアクセス監査
4663 はアクセスごとに発生するオブジェクト監査レコードです。適切なファイルとキーに SACL を設定すれば、誰が何に触れたかを 1 バイト単位で記録できます。ランサムウェア、エクスフィル、資格情報ストア窃取に有用です。
Event ID 4672 を解説: Windows での特権ログオン検出
4672 は、SeDebugPrivilege や SeTcbPrivilege のようなセンシティブな特権がログオンに与えられたときに発火します。「このログオンは管理者相当」のシグナルとして読めば、監査ポリシーの残りが整います。
Event ID 4688 を解説: DFIR のための Windows プロセス作成監査
4688 は、コマンドライン監査が有効なら、ベース OS のプロセス作成レコードです。中身、Sysmon 1 との違い、本領を発揮するトリアージ パターンを解説します。
Event ID 4720 を解説: AD 内の不正アカウント作成を検出する
4720 はローカル/ドメインを問わず、ユーザー アカウントが作成されるたびに発火します。4722、4724、4732 と一緒に読めば、永続化アカウントと横方向移動アカウントを数分で捕まえられます。
Event ID 4768 を解説: Kerberos TGT リクエストと AS-REP roasting
4768 は DC が発行したすべての TGT の記録です。結果コードと pre-auth フラグで読めば、AS-REP roasting、ブルートフォース、unconstrained delegation の悪用を見つけられます。
Event ID 4769 を解説: Kerberos サービス チケットと kerberoasting
4769 は DC が発行したすべてのサービス チケット リクエストの記録です。暗号化タイプで読めば kerberoasting を、4768 と一緒に読めば pass-the-ticket を見つけられます。
Event ID 7036 を解説: DFIR トリアージのためのサービス状態変更
7036 はサービスの開始/停止のたびに発火します。7045 と組み合わせれば、永続化が実際に動いたかを確認できます。単独でもサービス濫用、防御回避、ブート異常を明らかにします。
.evtx ファイルの開き方 (5 つの方法、インストール不要)
Windows .evtx ファイルを開く 5 つの方法: ブラウザ、Event Viewer、wevtutil、EvtxECmd、python-evtx。ホスト OS と許容できる手間で選んでください。
.evtx ファイルとは何か? Windows イベントログ形式の解説
.evtx ファイルはバイナリの Windows イベントログです。配置場所、中身、.evt との違い、開き方を解説。インストール不要。
稼働中の Windows システムから .evtx ログを収集する方法 (4 種類)
ライブの Windows ホストから .evtx を取り出す 4 つの方法: wevtutil、FTK Imager、KAPE、生 NTFS。それぞれの証拠保全上のトレードオフと、実際に実行するコマンドを紹介します。
Event ID 4625 を解説: ブルートフォース、スプレー、列挙の検出
4625 はログオン失敗レコードです。正しく読めば、成功に転じる前にパスワード スプレー、クレデンシャル スタッフィング、Kerberos の悪用を見つけられます。
Event ID 1102 を解説: Security 監査ログのクリア (と残るもの)
1102 は、より多くの証拠を残さずに抑制できない唯一のイベントです。それが何を告げるか、クリアを生き残るもの、目にしたあとどこを見るかを解説します。
EVTX ファイル形式を解説: チャンク、テンプレート、BinXML 内部
.evtx ファイルがバイト レベルでどうレイアウトされるか: ファイル ヘッダー、64 KB チャンク、テンプレート テーブル、それを参照する BinXML レコード ストリーム。
PowerShell Event ID 4104 を解読する:DFIR のためのスクリプトブロック ロギング
スクリプトブロック ロギングは Windows で最も有用な無料の防御コントロール。難読化されたものやインメモリのものも含め、スクリプト本体全体をイベント 4104 として記録する。
Event ID 7045 を解読する:永続化シグナルとしてのサービス インストール
サービス作成は最も騒がしい永続化手法の一つ。Event 7045 は全インストールを捕捉する — 3 つのフィールドを読めばその大半を捉えられる。
Sysmon Event ID 1 を解読する:DFIR トリアージのためのプロセス作成
Sysmon のイベント 1 は Windows が生成できる最もリッチなプロセス作成レコード。中身と素早いトリアージ方法を解説。
イベントID 4624 とは:Windows ログオン成功とログオンタイプ早見表
イベントID 4624(ログオン成功)の中身を完全解説。ログオンタイプ 2/3/10 の見分け方、トリアージで見るべきフィールド、大量のログを効率よく読むコツまで DFIR 実務者が解説します。
ここから始める: DFIR アナリストのための .evtx ガイド
.evtx とは何か、重要なチャネル、押さえておくべき Event ID、それぞれがディスク上のどこにあるか。このブログのその他すべてのコンテンツへの出発点となるナビゲーションです。