Windowsイベントログ解析によるDFIRとThreat Hunting

  • Thursday, 29 Sep 2022 6:00PM JST (29 Sep 2022 09:00 UTC)
  • Speaker: Zachary Mathis

組織でインシデントが発生した際には、多くの場合、Windowsのフォレンジック調査が中心になります。しかし、Windowsのイベントログを事前に正しく設定できている組織はそれほど多くありません。このウェブキャストでは、SANS SEC504のインストラクターであるZach Mathis (@yamatosecurity)が、不正アクセスやマルウェアを検知できるようにするためのログ設定方法や、具体的な調査方法を解説します。Windowsイベントログ解析は、専門家でないと難しく、かつ手間がかかるプロセスでしたが、オープンソースで開発されている「Hayabusa「と「WELA (Windows Event Log Analyzer)」というツールを用いることで、容易に解析することができるようになりました。ログの設定から調査方法まで、どなたでも対応できるように解説します。また、インシデントが発生した時だけではなく、スレットハンティングの目的で定期的にWindowsログ解析をすることで、ゼロデイ攻撃等の不正アクセスを検知することができます。
講演者紹介:Zachary Mathias

アメリカ・インディアナ州出身。

中学生(1990年〜)の頃からIT、セキュリティ、日本語を独学。 高等学校在学中にパスワードクラッキングの研究でインテル、米国空軍、米国海軍から最優秀賞を授与されるなど、セキュリティ分野において功績を残す。

2005年に東南アジア研究とコンピュータサイエンスの専攻でPurdue大学を卒業し、2006年に(株)神戸デジタル・ラボ(KDL)に入社。
KDLにおいてウェブ診断、スマホ診断、ペネトレーションテスト、メール訓練、フォレンジック調査、インシデント対応などのセキュリティ関連サービスを立ち上げる。

同社内にてセキュリティチーム(Proactive Defense)を立ち上げ、後進の育成にも努める。
2007年〜2010年の間、セキュリティ分野で権威のあるカーネギーメロン大学日本校(CMUJ)で全講座のTAと研究員として従事。
2008年より海外の有名なセキュリティカンファレンスなど様々な場で登壇を行い、2014年より日本国内のセキュリティコンテスト「SECCON」の運営に参画。
2012年より数多くのセキュリティエンジニアから人気を博しているハンズオンセキュリティ勉強会「大和セキュリティ」を主催し、セキュリティ人材の育成に努めている。
2017年よりSANSの最も人気のあるコース504 (インシデント対応とハッカー入門)を日本語にローカライズし、講師を務める。

日本ではCMUJ、SANS、JNSA、KIIS、IPA、鹿児島県サイバーセキュリティ協議会、Kobe 078、重要インフラのプライベートトレーニング、産官学連携の講座などにおいてトレーニングの講師を務め、数多くのセキュリティプロフェッショナルを輩出している。活動は日本国内に留まらずアメリカ、フィリピン、タイ、ラオス、カンボジア、ミャンマー等の国々でもセキュリティの講師を務めた経験を有し、今後はクウェート、香港、インド、オーストラリア等世界中講義を行う予定。不測の事態にも備え、どのような環境でもベストを尽くしてセキュリティ技術を教えられるよう心掛けている。

現在はGCFA (フォレンジック調査のアナリスト)、GCIA (侵入検知のアナリスト)、GWAS (ウェブアプリケーションセキュリティ)、GCIH(インシデントハンドラー)、GCED(Enterprise Defender)、GCWN (Windowsセキュリティ管理者)、GPEN(ペネトレーションテスター)、GMON(セキュリティ監視)、GREM(マルウェア解析)など数多くの資格を保持しながら、日々新しいテクノロジーに関するセキュリティの研究を行なっている。 また、Twitterの@yamatosecurityで日々セキュリティのニュースやアドバイス、最新技術などの情報を発信している。

講演資料は下記のリンクよりアクセスください。

https://github.com/Yamato-Security/Presentations/blob/main/Japanese/2022-09-29-Windowsイベントログ解析によるDFIRとThreatHunting.pdf