朝長 秀誠 (Shusei Tomonaga)

朝長 秀誠 (Shusei Tomonaga)

LogonTracer v1.4 リリース

先日、JPCERT/CC が作成しているイベントログの分析をサポートするツール「LogonTracer」の最新版バージョン1.4をリリースしました。

https://github.com/JPCERTCC/LogonTracer/releases/tag/v1.4.0

今回は、このアップデートの中からいくつかの新しい機能について紹介します。その他のアップデート内容については上記のリリースをご覧ください。

ダークモードの追加

LogonTracerは、これまで白を基調としたデザインでしたが、今回のアップデートでダークモードを追加しました。「Dark Mode」スイッチをオンにすることで、ダークモードへ切り替えることができます。図1は、ダークモード使用時のLogonTracerの画面です。

LogonTracer
図1: LogonTracer(ダークモード)

ダークモード時は、アカウントまたはホストを表す各ノードの見た目が変わっていますので、使用する際は際にはご注意ください。各ノードの説明は、以下の通りです。

  • : 管理者権限アカウント
  • : 一般ユーザアカウント
  • : ホストまたはIPアドレス

ログ追加機能の実装

これまでLogonTracerは、新しいイベントログを追加したい時、すでにインポートしている古いイベントログも合わせてアップロードする必要がありました。そのため、イベントログの追加には大きな時間がかかっていました。その問題を解消するために、今回のアップデートで「ログ追加機能」を実装しました。 図2は、イベントログのアップロード画面です。

LogonTracerのイベントログアップロード画面
図2: LogonTracerのイベントログアップロード画面

「Add additional EVTX or XML files」を有効にして、追加したいイベントログをアップロードすることで新しいログが追加されます。なお、コマンドラインからはオプション「--add」を使用することでイベントログの追加が可能です。

今後のアップデート

次期アップデートでは、Elasticsearchからログをインポートしてリアルタイム分析を行えるようにする機能の追加などを予定しています。今後もLogonTracerはアップデートを続けていきますので、引き続きPull Requestや要望などお待ちしています。

インシデントレスポンスグループ 朝長 秀誠

この記事の筆者

朝長 秀誠 (Shusei Tomonaga)

朝長 秀誠 (Shusei Tomonaga)

外資系ITベンダーでのセキュリティ監視・分析業務を経て、2012年12月から現職。現在は、マルウェア分析・フォレンジック調査に従事。主に、標的型攻撃に関するインシデント分析を行っている。CODE BLUE、BsidesLV、BlackHat USA Arsenal、Botconf、PacSec、FIRSTなどで講演。JSACオーガナイザー。

≪ 前へ
トップに戻る
次へ ≫