Extract or reproduce event log message #458
Comments
|
Exportの方法はWindowsイベントログをRustでJSONもしくXMLにexportするのはevtxライブラリでできるので、以下を参考にしながらJSONにアウトプットすれば行けそうです。 https://github.com/omerbenamram/EVTX#evtx_dump-binary-utility |
|
調べてくれてありがとうございます。問題はevtxにメッセージ情報が無いので、ライブ端末でWindows API経由でメッセージ情報を抽出しながら、エクスポートする必要があります。 ご参考: このsqlite dbを一回見てみたのですが、よく分かりませんでした。このデータセット使えそうかどうか一回見てくれますか? https://github.com/nsacyber/Windows-Event-Log-Messages/releases |
|
なるほど・コメントいただきありがとうございます。よくわかっておらず申し訳ないです。 sqlite dbのデータセットを確認するということで承りました。少し確認してみます |
という風にしたら、英語の表示情報(message)が
|
|
Get-WinEventコマンドで各ログのイベントIDとメッセージ情報を抽出して、テキストデータベース(CSV?)に保存しておけば、オフライン調査でメッセージをある程度再現できそうです。 ただ、問題は2つあります:
もう少し考えておきます。取り敢えずメモとして残しておきます。 |
|
情報提供ありがとうございます。2つ確認させてください。 1つめは、descriptionの部分がMessageということで理解しました。これってversionが複数ありますが、対象のイベントの中にあるSystem > Versionの値を利用するという認識で良いのでしょうか。 2つめは出力をするとしたら以下の2つの方法が良いと思いますが、どちらがよろしいでしょうか。個人的には別ファイル出力かなとも思っています。
|
|
メモ: Windows Event Collectorでデフォルトのログ転送機能を使ったら、Message情報がEVTXに保存されます。 SIEMを構築しなくてもエクスポート時にMessageを保存する方法がないかな〜。 |
確認ありがとうございます!
データセットのJSONがそれぞれ違うので、対応するのは大変で広く使えなさそうなので、取り敢えずbotsとOTRF dataset対応なしにしましょうか?
それより、Messageを検索するルールが20件ぐらいありますが、元々のevtxファイルにMessageがないので、Messageが記録されているxmlかjsonファイルにexportしてから、Message検索と出力対応にした方が良さそうです。(アラートを確認する際にMessage情報があると助かるので)
今、良さそうなexport方法を調査中です。残念ながら、Windowsイベントログを書き込むrust crateはあるけど、exportするcrateは無さそうです。
Powershellで
Get-WinEvent -LogName system |ConvertTo-JsonかGet-WinEvent -LogName system |ConvertTo-Xmlで良い感じに変換できるけど、とても遅いのと、Windows 7のデフォルトPowershellバージョンでは使えないかもしれません。Event ViewerのGUIからMessageが記録されているXMLをエクスポートできるけど、GUIなので自動化できません。
wevtutil.exeでMessageが無いXMLかテキストのMessageのどちらかをexportできるけど、Event ViewerのようにMessageが含まれているXMLを出力できなさそうなので、もう少し調べてみます。。
これを別のissueにしましょうか?
Originally posted by @YamatoSecurity in #386 (comment)
The text was updated successfully, but these errors were encountered: