[レポート]Hayabusa – 無料で行える、ウインドウズ環境での脅威ハンティングと迅速なフォレンジック – CODE BLUE 2022 #codeblue_jp

CODE BLUE 2022 で行われた下記セッションのレポートです。

セッション概要

タイトル

Hayabusa - 無料で行える、ウインドウズ環境での脅威ハンティングと迅速なフォレンジック

概要

この講演では、無料のオープンソースツールHayabusaを使用して、可能な限り最も効率的な方法でWindowsイベントログに対する高速なフォレンジック調査を実施する方法を紹介する。

Presented by

田中ザック（ザック・マシス） - Zach Mathis

レポート

本セッションの資料は公開される予定のため、ブログではなく資料を見ていただくのがおすすめです。

• 登壇資料
  • Presentations/2022-10-28-CODE BLUE-DFIR-AndThreatHuntingWithWindowsEventLogs.pdf at main · Yamato-Security/Presentations
• 大和セキュリティの関連情報
  • DFIR と脅威ハンティングのための Windows イベントログ設定の究極ガイド
    • Yamato-Security/EnableWindowsLogSettings: Documentation and scripts to properly enable Windows event logs.
  • [GitHub] Yamato Security 大和セキュリティ
  • [connpass] 大和セキュリティ勉強会 - connpass
  • [Twitter] Yamato Security Tools（@SecurityYamato）さん / Twitter

以下、レポートです。

• 注意事項
  • 30 分でスライド 70 枚以上！
  • 資料は後で公開される
• 大和セキュリティについて
  • 2012 年から始まる
  • 始めは関西のコミュニティ
  • 現在は全国で取り組み
• イベントログ解析スキルの重要性
  • どの Windows 端末にもあるので、フォレンジックの基本
  • ただし、癖があるので、事前に勉強が必要
• ログ設定の問題
  • デフォルトでは 8 割のほしいログが記録されないので、フォレンジックが困難になる
    • PowerShell 実行、プロセス実行のログなどはデフォルトではない
  • また、7 割以上がノイズ
  • デフォルトのログサイズはたった 1〜20MB なので、上書きで必要なログがなくなる
  • 理想は Microsoft の sysmon ツールを導入してフォレンジックエビデンスを残すこと
• イベントログ設定の改善
  • 大和セキュリティから、DFIR と脅威ハンティングのための Windows イベントログ設定の究極ガイドを提供している
    • Yamato-Security/EnableWindowsLogSettings: Documentation and scripts to properly enable Windows event logs.
    • ログ設定やチューニングの参考になる
    • 先々週から公開している
    • 日本版もあるが英語が最新
    • 海外の反応もよい
• イベントログ解析の課題と解決方法
  • ログが分かりにくい
  • 7 割ノイズ
  • デフォルトで重要なログが残らない
  • イベントログが 300 以上のログに分散されている
  • イベントレベルは DFIR 観点ではない
  • 小規模ネットワークでもイベント数が十数万件ある
  • 解決方法は Fast Forensics 解析ツールを利用すること
    • WELA
    • Hayabusa（隼）
    • Takajo（鷹匠）
• WELA
  • PowerShell で書いている
  • ログオンタイムラインを作ってくれる
  • 解決している課題
    • バックグラウンドもログオンイベントがあるのでノイズが多い
    • ログオン時間は手動集計だった
    • 管理者イベントのログインは 2 つのイベントが記録され、手動の関連付けの手間がある
  • GUI でタイムラインを確認できる
    • 検知ルールは入っていないが、どの端末が横展開したかなどは分かりやすくなる
  • NTMLM が SMBv1 ほど危険だが、無効にしたらユーザー影響があるかもしれない
    • ログで利用状況を確認してから無効にする調整ができる
• Hayabusa（隼）
  • Windows ログイベントの Fast Forencics タイムライン生成と脅威ハンティングツール
  • 特徴
    • Rust で開発
    • 高速、安全（Memory safe）
    • Widnows, Linux, macOS に対応スタンドアロンで実行可能
  • 端末の 300 個以上のイベントログをスキャンして重要なログや攻撃の痕跡だけを抽出してくれる
    • CSV, JSON で出力できる
  • 長いログ出力を短縮している
    • スクロールシなくてすむ
    • ログ解説が楽しくなるように工夫している
  • Sigma の説明
    • OSS の YAML 形式の検知ルール
    • ログベース IaC の世界基準
    • Sigma から多くの SIEM 等のクエリできる（例えば、Splunk など）
    • Sigma ルールの変換サイトもある
      • Uncoder.IO | Universal Sigma Rule Converter for SIEM, EDR, and NTDR
  • Hayabusa Rules
    • ほとんど Sigam ルールのサブセット
    • たまに変換できないものがある
  • Result Sumally 機能もある（HTML レポート）
• 脅威ハンティングの注意点
  • 誤検知がある
    • ある程度、誤検知がでるようにしておかないと未知のものに対応できない
    • 最終的に専門家が手動で確認する必要がある
• 脅威ハンティングのアドバイス
  • アラートレベルの順番に一通り確認して、状況全体を把握する
    • 始めから一つのアラートを深ぼらない
  • ノイズをなるべくフィルタリングする
  • Excel ではなく、Timeline Explorer などを利用したほうがよい
• Takajo（鷹匠）
  • 今日リリース
  • Hayabusa 結果の解析ツール
  • Nim で開発
  • 現在は 2 つの機能のみだが、これから解析機能を作っていく
    • WELA のようなログオンタイムライン作成、など
    • EDR のように悪意のあるプロセスのツリー図表示（可視化）
    • 機械学習で行動分析、など
• 大和セキュリティへの貢献
  • たくさんあるので、貢献したい方は連絡をいただきたい、色々紹介できる
    • ドキュメンテーションの和訳、など
    • Hayabusa の検証とルールチューニング
    • など、たくさん
  • 攻撃ツールに負けないようにブルチームツールを作る必要がある

さいごに

「DFIR と脅威ハンティングのための Windows イベントログ設定の究極ガイド」がとても気になりますね。後で見てみたいと思います。