「Sysmon 14.0」が公開、マルウェアの検知・解析だけでなくブロックも可能に

高度なホスト監視ツール「Sysmon 14.0」Microsoftの「Windows Sysinternals」からリリース

　高度なホスト監視ツール「Sysmon 14.0」が8月17日（現地時間）、Microsoftの「Windows Sysinternals」からリリースされた。 Windows 8.1/Server 2012 以降に対応しており、「sysinternals.com」から無償でダウンロードできる。

　「Sysmon」はデバイスドライバーやシステムサービスのログを採取し、「イベント ビューアー」や「PowerShell」などで分析できるようにするコマンドラインツール。メジャーバージョンアップとなる本バージョンでは、指定された場所にプロセスが実行ファイルを作成するのを防止する新しいイベントタイプ「FileBlockExecutable」が追加された。

　たとえば以下のような設定ファイル（XML形式）を作成し、「sysmon64.exe -i （設定ファイルのパス）」で読み込ませると、デスクトップへの実行ファイルコピーがブロックされ、イベントログに「Event 27」が記録される。

<Sysmon schemaversion="4.82">
   <EventFiltering>
      <RuleGroup name="" groupRelation="or">
         <FileBlockExecutable onmatch="include">
            <TargetFilename condition="contains all">C:\Users;Desktop</TargetFilename>
         </FileBlockExecutable>
      </RuleGroup>
   </EventFiltering>
</Sysmon>

　マルウェアを検出・解析するだけでなく、活動を阻害するツールとしても利用可能になったわけだ。

デスクトップへの実行ファイルコピーがブロックされ、イベントログに「Event 27」が記録される