拡張されたSysmon
ここのところ、新しいマルウェアの話が続いています。
たまには明るいほうの話題は何かないのかと思っていたところで、Sysmonの拡張のニュースがありました。
SysmonはSysinternalsシリーズの一つで、いわゆるシステムモニターです。
Windowsシステムサービスとデバイスドライバーとして実装されており、システムに一度インストールされると、システムの再起動後も常駐し、システムアクティビティを監視してWindowsイベントログに記録してくれます。
これ単体で使うということもできますが、ログ収集サーバにログを集めるようにし、そのログを監視することでシステムの強度を高めることに使えます。
このように組み合わせて利用することで、悪意のあるアクティビティや不審なアクティビティを監視して大事に至る前に対策を打てるようにしようということです。
こういった仕組みを考える場合、いくつかの重要な点があります。
- 情報価値の高い事象の検出ができる
- 安全のためのシステムそのものが改ざんに対して強い
- 安定して動作する
他にもいくつもポイントとなる点はあるように思いますが、こういったところは特に重要です。
Sysmonをログの集中管理システムと組み合わせて利用する場合、これまでもこれらの点が実現できてきました。
しかし最近リリースされた新しいバージョンのSysmonでこれらの点がさらに改善されてきています。
見てみましょう。
- FileExecutableDetected
Sysmonは多くの種類の事象をとらえ、イベントとしてログに記録します。
この記録可能な事象に、新しい事象が加えられました。
実行可能ファイルの検出です。
標準では有効ではありませんが、Sysmonに設定することで、指定したPATHに実行可能ファイルが作成された際に、それをブロックすることができるようになります。
ブロックしたうえで、イベントログを生成します。
これはマルウェア対策として価値の高い機能です。 - Protected Process Light
Sysmonは保護されたプロセスになりました。
Sysmonに限らずこの種のソフトウェアは悪意ある活動者にとって厄介なものです。
厄介なものは悪意ある活動の前に改ざんが試みられます。
今回のSysmonの拡張でこの点に対策が打たれました。
サービスが保護されたものとして起動されると、Windowsは信頼できるコードのみが保護されたサービスに読み込まれることを許可する動きとなります。
また、Windowsは、管理プロセスからのコードインジェクションやその他の攻撃からこれらのプロセスを保護します。
価値ある情報を安定して収集し、その情報を適切に監視することで、よりよいシステム運用が実現できます。
Sysmonをすでに利用されている場合には新しいバージョンの利用を検討してみましょう。
まだ利用されていない場合はいい機会ですのでこの種の対策の導入の検討を開始してみてはいかがでしょうか。
参考記事(外部リンク):Sysmon 15.0 — File executable detected and PPL protection
medium.com/@olafhartong/sysmon-15-0-file-executable-detected-40fd64349f36
