ESENTイベント(ESENTログ)とは【用語集詳細】

カテゴリ
用語集 
タグ
セキュリティ対策  用語集  用語集:英数字記号  用語集:E  Windows  APT 

SOMPO CYBER SECURITY

B!

サイバー脅威インテリジェンスサービスCognyte

ESENTログあるいはESENTイベントWindowsのストレージ技術であるWindows ESE(Extensible Storage Engine)が生成するイベントログです。
ESEはWindowsの中核機能であり、ファイル検索やアプリケーションのバックアップ・修復に利用されています。
WindowsログーApplicationログにおけるESENTソースのイベントは、ESEデータストレージに何らかの事象が生起した際に生成されます。

例:

APTや高度な脅威アクターが用いるLOTL攻撃は、セキュリティツールやWindowsセキュリティ機能に検知されない場合があります。こういったケースでは、ESENTが生成するインデックス関連イベントから侵害の手がかりを特定する必要があります。
米CISAは、中国系APT Volt TyphoonによるActive Directory侵害の兆候を検知する手掛かりとして、ソースESENTイベントの216、325、326、327を特に注意深く調査するよう推奨しています(外部リンク)。

CISAによるVolt Typhoon活動の指標
イベント ID イベント詳細
216 A database location change was detected from 'C:\Windows\NTDS\ntds.dit' to '\\?\GLOBALROOT\Device\{redacted}VolumeShadowCopy1\Windows\NTDS\ntds.dit'
325 The database engine created a new database (2, C:\Windows\Temp\tmp\Active Directory\ntds.dit).
326

NTDS-++-12460,D,100-++--++-1-++-

C:\$SNAP_{redacted}_VOLUMEC$\Windows\NTDS\ntds.dit-++-0-++- [1] The database engine attached a database. Began mounting of C:\Windows\NTDS\ntds.dit file created from volume shadow copy process
327

C:\Windows\Temp\tmp\Active Directory\ntds.dit-++-1-++- [1] The database engine detached a database (2, C:\Windows\Temp\tmp\Active Directory\ntds.dit). Completion of mounting of ntds.dit file to C:\Windows\Temp\tmp\Active Director



関連記事

【ブログ】中堅企業向けサイバー脅威インテリジェンス活用ガイド ~導入時や運用の懸念を払拭~(4/28)

皆さん、こんにちは。 SOMPO CYBER SECURITYで上級研究員を務めるマオール・シュワルツ(Maor Shwartz)です。 私は来日する以前から現在までの10年近く、軍(イスラエル国防軍8200部隊)と民間(インテリジェンスを扱う専門企業や機微な情報を持つ民間企業)の立場でインテリジェンス及びサイバーセキュリティに携わってきました。(私の詳細なプロフィールなどはこちらの過去記事をご覧...

【ブログ】AIの力を脅威インテリジェンスに活かす(3/14)

サイバー脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte | 2025年3月 今日のデジタル時代において、サイバーセキュリティはかつてないほど重要になっています。サイバー脅威の高度化に伴い、従来のセキュリティ対策では不十...

【サービス概要】Panoraysサプライヤーサポートパック(2/14)

当社はサプライチェーンリスク評価サービス『Panorays』の国内総代理店として、サプライチェーンにおけるサイバーセキュリティ対策の強化を提案してきました。本サービスは『Panorays』とサイバー保険をパッケージ化し、平時も、もしもの時も、またサプライチェーンの上流に位置する企業であるご契約者さまにも、登録サプライヤーにもサポートを提供し、サプライチェーン全体でリスクを最小化して、信頼性向上に繋...

【ブログ】自動車関連メーカーを攻撃するQilinランサムウェア(2/14)

サイバー脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。 Cognyte CTI Research Group@Cognyte | 2025年2月 2025年2月5日、Qilinランサムウェア・グループは、ダークウェブ上にホストするリー...