ニュース

システムロガー「Sysmon」がメジャー更新。「Process Explorer」v16.20も公開

「Sysmon」はレジストリ変更の検出に対応。「Process Explorer」は“CFG”をサポート

 米Microsoft Corporationは18日(現地時間)、開発者や管理者向けのシステムツール集“Windows Sysinternals”の一部をアップデートした。現在、「Sysmon」v5.0や「Process Explorer」v16.20などが“Windows Sysinternals”のWebサイトから無償でダウンロード可能。

 「Sysmon」は、デバイスドライバーとシステムサービスのログを採取して、「イベント ビューア」や「Windows PowerShell」などで分析できるようにするコマンドラインツール。メジャーバージョンアップとなる「Sysmon」v5.0では、ファイルの作成とレジストリの変更を記録する機能が追加された。これはセキュリティインシデントの検知や原因究明(フォレンジクス)のための機能で、マルウェアがシステムに重大な変更を加えたといったイベントを検知するためのフィルターを構成できるようになる。

 一方、「Process Explorer」は高機能なプロセス管理および診断ユーティリティ。プロセスの親子関係をツリー状に表示できるほか、ウイルスチェックサービス“VirusTotal”との連携機能を備えるなどなど、Windows標準のプロセス管理ツール「タスク マネージャー」より強力で、「タスク マネージャー」と置き換えて利用することもできる。

 今回のアップデートでは、それぞれのプロセスで“制御フロー ガード(Control Flow Guard:CFG)”が有効になっているかどうかを確認するための機能が追加された。

「Process Explorer」v16.20
それぞれのプロセスで“制御フロー ガード(CFG)”が有効になっているかどうかを確認するための機能が追加

 “制御フロー ガード”はWindows 10で利用できる新しいセキュリティ機能で、マルウェアが脆弱性を突いて任意のコードを実行するのを阻止する。[View]-[Select Columns]ダイアログの[Process Images]タブや[DLL]タブにある[Control Flow Guard]オプションを有効化すると、プロセスリストで“制御フロー ガード”の有無をチェックできるようになる。さらに、プロセスの“データ実行防止(Data Execution Prevention:DEP)”の設定が変更された時にそれが反映されるようになった。

 そのほか、アプリケーションプロセスのダンプを作成する「Procdump」や、カーネルメモリのスナップショットダンプを作成できる「LiveKd」といった“Windows Sysinternals”ツールもアップデートされている。

ソフトウェア情報

「Sysmon」
【著作権者】
Mark Russinovich 氏、Thomas Garnier 氏
【対応OS】
Windows 7/Server 2012以降
【ソフト種別】
フリーソフト
【バージョン】
5.0(16/11/18)
「Process Explorer」
【著作権者】
Mark Russinovich 氏
【対応OS】
Windows Vista/Server 2008以降
【ソフト種別】
フリーソフト
【バージョン】
16.20(16/11/18)

窓の杜をいいね・フォローして最新記事をチェック!