ESENTイベント(ESENTログ)とは【用語集詳細】

カテゴリ
用語集 
タグ
セキュリティ対策  用語集  用語集:英数字記号  用語集:E  Windows  APT 

SOMPO CYBER SECURITY

B!

サイバー脅威インテリジェンスサービスCognyte

ESENTログあるいはESENTイベントWindowsのストレージ技術であるWindows ESE(Extensible Storage Engine)が生成するイベントログです。
ESEはWindowsの中核機能であり、ファイル検索やアプリケーションのバックアップ・修復に利用されています。
WindowsログーApplicationログにおけるESENTソースのイベントは、ESEデータストレージに何らかの事象が生起した際に生成されます。

例:

APTや高度な脅威アクターが用いるLOTL攻撃は、セキュリティツールやWindowsセキュリティ機能に検知されない場合があります。こういったケースでは、ESENTが生成するインデックス関連イベントから侵害の手がかりを特定する必要があります。
米CISAは、中国系APT Volt TyphoonによるActive Directory侵害の兆候を検知する手掛かりとして、ソースESENTイベントの216、325、326、327を特に注意深く調査するよう推奨しています(外部リンク)。

CISAによるVolt Typhoon活動の指標
イベント ID イベント詳細
216 A database location change was detected from 'C:\Windows\NTDS\ntds.dit' to '\\?\GLOBALROOT\Device\{redacted}VolumeShadowCopy1\Windows\NTDS\ntds.dit'
325 The database engine created a new database (2, C:\Windows\Temp\tmp\Active Directory\ntds.dit).
326

NTDS-++-12460,D,100-++--++-1-++-

C:\$SNAP_{redacted}_VOLUMEC$\Windows\NTDS\ntds.dit-++-0-++- [1] The database engine attached a database. Began mounting of C:\Windows\NTDS\ntds.dit file created from volume shadow copy process
327

C:\Windows\Temp\tmp\Active Directory\ntds.dit-++-1-++- [1] The database engine detached a database (2, C:\Windows\Temp\tmp\Active Directory\ntds.dit). Completion of mounting of ntds.dit file to C:\Windows\Temp\tmp\Active Director



関連記事

リスクアセスメントで築く持続可能な事業インフラ Part 2:サイバー攻撃に備える ~CSIRTが支える「判断できる組織」~(2/9)

この領域において、20年を超える現場経験から培った知見や見えてきた課題、またその解決方法など、皆さまの参考になるよう、具体的な例を交え、SOMPO CYBER SECURITYでコンサルタントを務める私、山田 淳二が「リスクアセスメントで築く持続可能な事業インフラ」というテーマで、連載コラムをお届けしています。 これまでに、 Part0として「なぜ、サイバーセキュリティ対策が必要なのか」という「そ...

リスクアセスメントで築く持続可能な事業インフラ Part 1:経営戦略とサイバーセキュリティ ~リスクアセスメントの現場から~(1/13)

この領域における20年を超える現場経験から培った知見や見えてきた課題、またその解決方法など、みなさまの参考になるよう、具体的な例を交え、SOMPO CYBER SECURITYでコンサルタントを務める私、山田 淳二が「リスクアセスメントで築く持続可能な事業インフラ」というテーマで、連載コラムをお届けしています。 前回は前段(Part0)として、「なぜ、サイバーセキュリティ対策が必要なのか」という「...

【WP】効果測定と戦略的活用 ~サイバー脅威インテリジェンスを最適化するKPI~

近年、注目を集め、当社への問い合わせも増加傾向にあるサイバー脅威インテリジェンスの活用において重要な役割を果たすのがKPIです。 本ホワイトペーパーでは、効果的なKPIの設定とその戦略的活用について、当社の上級研究員であり、かつては諜報機関に所属していた経験をもつMaor Shwartz(マオール・シュワルツ)が詳しく解説します。 こんな方におすすめ 脅威インテリジェンスの活用に興味がある方 脅威...

リスクアセスメントで築く持続可能な事業インフラ Part 0:なぜ、サイバーセキュリティ対策が必要なのか(12/15)

SOMPO CYBER SECURITYでコンサルタントを務める私、山田 淳二が「リスクアセスメントで築く持続可能な事業インフラ」というテーマで、新しいコラム企画をお届けして参ります。 この領域における20年を超える現場経験から培った知見や見えてきた課題、またその解決方法など、みなさまの参考になるよう、具体的な例を交え、紹介していきます。 初回となる今回は「なぜ、サイバーセキュリティ対策が必要なの...