Program

/

CODE BLUE 2025

Time Table

ギャップに要注意:Windowsイベントログの見落としを検出する(そして修正する!)

DAY 2

11:00-11:40

WindowsイベントログはDFIRにおいて重要な役割を果たします。しかし、デフォルトの監査設定では、ログサイズの制限、不十分なポリシー、短い保存期間により、検出の死角が生じることがよくあります。

私たちは、防御者がより強力な脅威検出とフォレンジック対応のためにWindowsイベントログの監査設定を評価し改善するのに役立つ、2つのオープンソースツールを紹介します。

WELAは、現在の設定を業界のベストプラクティスと実際のSigmaルールのカバレッジに対して監査するPowerShellベースのツールです。4,000を超えるSigmaルールを活用することで、検出できる脅威とできない脅威を明らかにし、複数の監査ガイドをサポートします。

EventLog-Baseline-Guideは、ベースラインガイド間の監査ポリシーの違いを可視化するためのStreamlitベースのWebアプリケーションです。直感的な色分けを使用し、監査設定をログソースとイベントタイプ別にSigmaルールのカバレッジにマッピングします。

これらのツールは連携して、セキュリティチームがWindowsログの可視性ギャップを解消し、データに基づいた情報に基づいた改善をDFIR体制にもたらすことを可能にします。

  • Location :

    • Track 3(Room 3)

  • Category :

    • Bluebox

  • Share :

Speakers

  • 高橋 福助 の写真

    Fukusuke Takahashi

    高橋 福助

    高橋 福助は、2018年からNTTDATA-CERT(株式会社NTTデータグループのCSIRT)に勤務しており、IR、OSINT、SOARを専門としています。彼はYamato SecurityのオープンソースツールであるSuzaku、Hayabusa、Takajo、WELAの開発者の一人です。オープンソースのBlue Teamツールのバグ修正や脆弱性探索を楽しみ、複数のCVEを公開しています。彼はFIRST Annual Conference、SECCON、BSides Tokyo、HackFes、HITCON CMT、SecTor、AUSCERT、Black Hat USA Arsenalなどのカンファレンスで発表しています。

  • 田中ザック の写真

    Zach Mathis

    田中ザック

    パデュー大学でコンピューターサイエンスと東アジア研究の2つの学位を取得したザックは、日本におけるセキュリティ専門家の先駆者です。2006年よりセキュリティチームを立ち上げ、ペネトレーションテストからDFIRまでさまざまなサービスを提供してきたザックは、日本では数少ない外国人スペシャリストであり、20年にわたり大手企業のセキュリティを牽引してきました。2007年からは人気講演者であり、大和セキュリティコミュニティの創設者でもあります。数々のセキュリティガイドやコンテストにも貢献しています。教育や現場での業務以外では、Hayabusa、Takajo、WELA、Suzakuといった無料のDFIRツールを開発しています。バイリンガルとしての能力を活かし、文化の壁を乗り越え、サイバーセキュリティ教育において他に類を見ない存在となっています。
    アメリカ・インディアナ州出身。
    中学生(1990年〜)の頃からIT、セキュリティ、日本語を独学。
    高等学校在学中にパスワードクラッキングの研究で議事要旨、米国空軍、米国海軍から最優秀賞を授与されるなど、セキュリティ分野において功績を残した。
    2006年に(株)神戸デジタル・ラボ(KDL)に入社。
    KDLにおいてWeb診断、スマホ診断、ペネトレーションテスト、メール訓練、フォレンジック調査、インシデント対応などのセキュリティ関連サービスを立ち上げます。
    同社内にてセキュリティチーム(Proactive Defense)を立ち上げ、後進の育成にも努めています。
    2007年〜2010年の間、セキュリティ分野で画期的なカーネギーメロン大学日本校(CMUJ)で全講座のTAと研究員として勤務。
    2008年より海外の有名なセキュリティカンファレンスなど様々な場でコンテストに参加し、2014年より日本国内のセキュリティコンテスト「SECCON」の運営に参加。
    2012年より多くのセキュリティエンジニアから人気を博しているハンズオンセキュリティ勉強会「大和セキュリティ」を主催し、セキュリティ人材の育成に取り組んでいます。
    2017年よりSANSの最も人気のあるコース504(インシデント対応とハッカー入門)を日本語にローカライズし、講師を務めています。
    日本ではCMUJ、SANS、JNSA、KIIS、IPA、鹿児島県サイバーセキュリティ協議会、神戸078、重要インフラのプライベートトレーニング、産官学連携の講座においてトレーニングの講師を担うなど、多くのセキュリティプロフェッショナルを輩出している。活動は日本国内に留まらずアメリカ、フィリピン、タイ、ラオス、カンボジア、ミャンマーなどの安全でもセキュリティの講師を務めた経験を有しており、今後はクウェート、香港、インド、オーストラリアなど世界中で講演を行う予定。
    現在はGCFA(フォレンジック調査のアナリスト)、GCIA(攻撃監視のアナリスト)、GWAS(Webアプリケーションセキュリティ)、GCIH(インシデントハンドラー)、GCED(Enterprise Defender)、GCWN(Windowsセキュリティ管理者)、GPEN(ペネトレーションテスター)、GMON(セキュリティ監視)、GREM(マルウェア解析)など数多くの資格を保持しながら、日々新しいテクノロジーに関するセキュリティの研究を行っています。
    また、X(旧Twitter)の@yamatosecurityで日々セキュリティのニュースやアドバイス、最新技術などの情報を発信しています。