Microsoft Azure フォレンジック調査のメモ。
Microsoft Azure フォレンジック調査のメモ
Posted on
Category: forensic
Microsoft 365 フォレンジック調査のメモ
Posted on
Microsoft 365 フォレンジック調査のメモ。
Microsoft 365 Unified Audit Log 調査のためのjqコマンドのメモ
Posted on
ここ最近、Microsoft 365の侵害調査に携わる機会が増えてきたのだが、その際に少し困ったのがUnified Audit Log (UAL) の調査だった。 UALをCSVとしてエクスポートすると、肝心のデータはJSON形式でAuditDataというひとつのカラムに全てぶち込まれているので、Microsoft ExcelやLibreOffice Calcを使った調査には向いていない。 で、職場の同僚がjqコマンドを使って調査していたのにインスパイアされて、UALの調査に役立ちそうなjqコマンドを自分なりにまとめてみた。
GIAC Cloud Forensics Responder (GCFR) FOR509 感想
Posted on
先日、GIAC Cloud Forensics Responder (GCFR) FOR509を受験し、合格した。 個人的にGREM以来、約4年ぶりのGIAC試験だった。 以下、感想と備忘録。
メール解析のメモ
Posted on
先日久しぶりにメールの解析をしたのだが、結構忘れていることとか、理解が曖昧な部分があったので、メモ。 記事の最後にテスト用のメールサーバーのセットアップ方法も載せておく。
タスクスケジューラで作成されたタスクの設定ファイルはC:\Windows\System32\TasksまたはC:\Windows\Tasksに保存される
Posted on
タスクスケジューラで作成されたタスクの設定ファイルはC:\Windows\System32\TasksまたはC:\Windows\Tasksに保存される、という話のメモ。 ※検証にはWindows 10を使用。
挿入されたUSB機器の情報をレジストリから調べる
Posted on
以前、「挿入されたUSBのシリアル番号や製品情報をレジストリから調べる」というタイトルで記事を公開していたのだが、SANSのKevin Ripa氏のブログ記事 The Truth About USB Device Serial Numbers – (and the lies your tools tell) によると、レジストリに保持される番号はメーカーが定めたUSB機器のシリアル番号と一致しないとのことだった。 なので、簡単な検証とともに改訂版の記事を書くことにした。(旧記事は現在非公開) ※検証にはWindows 11を搭載したデスクトップPCを使用。
SRUMのメモ
Posted on
SRUMのメモ。 SRUMとはSystem Resource Usage Monitorの略で、アプリケーションやサービス等の利用状況を監視するWindowsの機能のこと。 フォレンジック調査の観点ではSRUMを調べることで、読み書きが異常に多いプロセスが無いかとか、外部と大量の通信を行っているプロセスが無いか(データ漏洩)などを確認することが出来る。 SRUMについては、すでに詳しく解説している記事がたくさんあるので、ここでは個人的に抑えておきたいポイントだけメモする。
ログオン・ログオフ・起動・シャットダウンに関するWindows イベントログのメモ
Posted on
ログオン・ログオフ・起動・シャットダウンに関するWindows イベントログのメモ。 Windows 11で検証。
イベントID 4624とドメインコントローラーのメモ
Posted on
ドメインユーザーがドメイン内のコンピューターにログオンした時、ログオン先のコンピューターだけでなく、ドメインコントローラーにもイベントID (EID) 4624が記録されるのか?と疑問が湧きググってみた。 (検証できればそれが一番いいのだが、手元に検証環境が無かった。)