ESENTイベント(ESENTログ)とは【用語集詳細】

カテゴリ
用語集 
タグ
セキュリティ対策  用語集  用語集:英数字記号  用語集:E  Windows  APT 

SOMPO CYBER SECURITY

B!

サイバー脅威インテリジェンスサービスCognyte

ESENTログあるいはESENTイベントWindowsのストレージ技術であるWindows ESE(Extensible Storage Engine)が生成するイベントログです。
ESEはWindowsの中核機能であり、ファイル検索やアプリケーションのバックアップ・修復に利用されています。
WindowsログーApplicationログにおけるESENTソースのイベントは、ESEデータストレージに何らかの事象が生起した際に生成されます。

例:

APTや高度な脅威アクターが用いるLOTL攻撃は、セキュリティツールやWindowsセキュリティ機能に検知されない場合があります。こういったケースでは、ESENTが生成するインデックス関連イベントから侵害の手がかりを特定する必要があります。
米CISAは、中国系APT Volt TyphoonによるActive Directory侵害の兆候を検知する手掛かりとして、ソースESENTイベントの216、325、326、327を特に注意深く調査するよう推奨しています(外部リンク)。

CISAによるVolt Typhoon活動の指標
イベント ID イベント詳細
216 A database location change was detected from 'C:\Windows\NTDS\ntds.dit' to '\\?\GLOBALROOT\Device\{redacted}VolumeShadowCopy1\Windows\NTDS\ntds.dit'
325 The database engine created a new database (2, C:\Windows\Temp\tmp\Active Directory\ntds.dit).
326

NTDS-++-12460,D,100-++--++-1-++-

C:\$SNAP_{redacted}_VOLUMEC$\Windows\NTDS\ntds.dit-++-0-++- [1] The database engine attached a database. Began mounting of C:\Windows\NTDS\ntds.dit file created from volume shadow copy process
327

C:\Windows\Temp\tmp\Active Directory\ntds.dit-++-1-++- [1] The database engine detached a database (2, C:\Windows\Temp\tmp\Active Directory\ntds.dit). Completion of mounting of ntds.dit file to C:\Windows\Temp\tmp\Active Director



関連記事

【WP】「つながり」が狙われる時代 ~サードパーティリスク管理で企業の信頼を守る~

サプライチェーンにおけるセキュリティリスク管理は、今では経営課題の一つに挙げられています。 本資料は、当社と当社のパートナー企業でもあるLAC社のサプライチェーンセキュリティリスク管理に関する豊富な知見をもつ3名が、座談会で語ったサプライチェーンセキュリティ対策が進まない要因や下請け法を巡る問題などについて、ホワイトペーパーにまとめたものです。なお、こちらは2026年1月より、マイナビニュースが運...

リスクアセスメントで築く持続可能な事業インフラ Part 3:事業継続と説明責任を支えるログ管理(3/9)

この領域において、20年を超える現場経験から培った知見や見えてきた課題、またその解決方法など、皆さまの参考になるよう、具体的な例を交え、SOMPO CYBER SECURITYでコンサルタントを務める私、山田 淳二が「リスクアセスメントで築く持続可能な事業インフラ」というテーマで、連載コラムをお届けしています。 これまでに、前段であるPart0「なぜ、サイバーセキュリティ対策が必要なのか」で「そも...

リスクアセスメントで築く持続可能な事業インフラ Part 2:サイバー攻撃に備える ~CSIRTが支える「判断できる組織」~(2/9)

この領域において、20年を超える現場経験から培った知見や見えてきた課題、またその解決方法など、皆さまの参考になるよう、具体的な例を交え、SOMPO CYBER SECURITYでコンサルタントを務める私、山田 淳二が「リスクアセスメントで築く持続可能な事業インフラ」というテーマで、連載コラムをお届けしています。 これまでに、 Part0として「なぜ、サイバーセキュリティ対策が必要なのか」という「そ...

リスクアセスメントで築く持続可能な事業インフラ Part 1:経営戦略とサイバーセキュリティ ~リスクアセスメントの現場から~(1/13)

この領域における20年を超える現場経験から培った知見や見えてきた課題、またその解決方法など、みなさまの参考になるよう、具体的な例を交え、SOMPO CYBER SECURITYでコンサルタントを務める私、山田 淳二が「リスクアセスメントで築く持続可能な事業インフラ」というテーマで、連載コラムをお届けしています。 前回は前段(Part0)として、「なぜ、サイバーセキュリティ対策が必要なのか」という「...