Windows の高度な監視ツールを有効にしてパフォーマンスを向上させる

2026 年 3 月 10 日、午前 11:00 EDT に公開

Oluwademilade は、5 年以上の執筆経験を持つテクノロジー愛好家です。彼は 2022 年に MUO チームに加わり、コンシューマー テクノロジー、iOS、Android、人工知能、ハードウェア、ソフトウェア、サイバーセキュリティなど、さまざまなトピックをカバーしています。 MUO での執筆に加えて、彼の作品は HowtoGeek、Cryptoknowmics、TechNerdiness、SlashGear にも掲載されています。

オルワデミラデさんはナイジェリアのイバダン大学に通い、医学部で医学の学位を取得しました。公務に優れたオルワデミラデさんは、国連と提携する学生団体からグローバル・アクション・アンバサダーの称号を授与されました。彼は、2020年に世界にプラスの影響を与えるための努力が認められ、マレーシアのクアラルンプールでこの称号を受け取りました。
 

Oluwademilade は、自由時間には、新しい AI アプリや機能をテストしたり、家族や友人の技術的な問題のトラブルシューティングをしたり、新しいコーディング言語を学習したり、可能な限り新しい場所に旅行したりすることを楽しんでいます。

おそらく、PC 上で何か不審なことが起こった場合、ウイルス対策ソフトがそれを捕捉すると考えているでしょう。そしておそらく、最終的にはそうなるでしょう。しかし、従来のセキュリティ ソフトウェアが警告を発する頃には、すでに被害が発生している可能性があります。あなたのコンピュータが、内部で起こっているすべてのこと、つまり起動するすべてのプロセス、開かれるすべてのネットワーク接続、ファイルの作成タイムスタンプが不審に変更されるたびに、詳細な実行ジャーナルを保持できたらどうでしょうか?

まさにシスモンがやっていることです。これは Microsoft が構築した無料のツールで、不審な動作を検出するための Windows Sysinternals ツールのより広いカテゴリに属します。興味深いのは、これらのユーティリティは PC 上でスパイウェアやアドウェアを見つけるための標準的なツールであるにもかかわらず、日常的な Windows ユーザーのほとんどはそれらのユーティリティについて聞いたことがないかもしれないということです。

Sysmon は、組み込みのログ記録では実現できないレベルの可視性を Windows に提供します

イベント ビューアでは決して解決できません

Windows にはすでにイベント ログが保存されており、問題のトラブルシューティングを行うためにイベント ビューアーを開いたことがあれば、イベント ログがどれほど混沌としているかに気づいているでしょう。ノイズが多く、常に十分な明瞭度が得られるわけではありません。 Sysmon（システム モニターの略）は、まったく異なる動物です。インストールされると、永続的なシステム サービスおよびデバイス ドライバーとして実行され、再起動後も存続し、詳細なイベントが Windows イベント ログに書き込まれます。この違いは、粒子の粗いセキュリティ カメラと、ナンバー プレートを読み取ることができるセキュリティ カメラを比較するのに似ています。

Sysmon のイベント カタログは、完全なコマンドライン引数とともにプロセスの作成をログに記録するため、プログラムが実行されたことだけを確認するだけでなく、プログラムがどのように起動されたかも確認できます。また、元のプロセス、IP アドレス、ポート、ホスト名などのネットワーク接続も記録します。これにより、どのアプリケーションがどのサーバーにいつ接続したかを追跡することが可能になります。ファイル作成タイムスタンプの変更にもフラグを立てます。これは、マルウェアが正規のシステム ファイルを偽装するために使用する古典的なトリックです。さらに、Sysmon は、ドライバーの読み込み、レジストリの変更、DNS クエリ、さらにはイベント ID 25 で記録されるプロセス ハローイングなどのより高度なテクニックを監視します。プロセス ハローイングでは、重要な Windows プロセス内に悪意のあるコードが隠れています。

関連

これは、PC が他の目的で黙って使用されているかどうかを確認する方法です

あなたの PC はあなたが尋ねた以上のことをしているかもしれないと思いませんか?非表示のアクティビティを確認する方法は次のとおりです。

以下は、最もセキュリティ関連のイベント ID を網羅したドラフト表です。

<先頭> <番目>

イベントID

<番目>

名前

<番目>

キャプチャするもの

<番目>

1

プロセス作成

完全なコマンド ライン、親プロセス、ファイル ハッシュを含む、起動するすべてのプロセス。これは、不審な実行を発見するのに最も役立つイベントです。

<番目>

2

ファイルの作成時間が変更されました

プロセスがファイルの作成タイムスタンプを意図的に変更した場合にフラグを立てます。これは、正規のシステム ファイルと融合させるための古典的なマルウェア戦術です。

<番目>

3

ネットワーク接続

アウトバウンド TCP/UDP 接続をログに記録し、各接続を接続を行ったプロセスにリンクします。これは、ビーコン送信やデータ漏洩を検出するために不可欠です。

<番目>

6

ドライバーがロードされました

ロード中のカーネル ドライバーを、署名のステータスも含めて記録します。署名されていない、または予期しないドライバーは重大な危険信号です。

<番目>

7

画像がロードされました

プロセスにロードされる DLL を追跡します。ボリュームの関係でデフォルトでは無効になっていますが、慎重にフィルタリングすると DLL ハイジャックを検出するのに強力です

<番目>

8

リモート スレッドの作成

あるプロセスが別のプロセスにスレッドを挿入することを検出します。これは、コード インジェクションおよびプロセス ハローイング攻撃の特徴的な手法です。

<番目>

10

プロセスアクセス

あるプロセスが別のプロセスのメモリを開いたときに起動され、LSASS (Windows ログイン シークレットを保存するプロセス) をターゲットとした資格情報盗難ツールを捕捉します。

<番目>

11

ファイルの作成

作成または上書きされた新しいファイルをログに記録します。特に、一時フォルダー、ダウンロード フォルダー、およびスタートアップ フォルダーを監視する場合に役立ちます。

<番目>

12–14

レジストリ イベント

マルウェアが再起動後の永続性を確立する主な方法である、レジストリ キーの作成、削除、値の変更、名前の変更について説明します。

<番目>

15

ファイル作成ストリーム ハッシュ

ブラウザ経由でダウンロードされたファイルに添付されているゾーン識別子ストリームをログに記録してファイルを捕捉します。これは、不審な実行可能ファイルの出所を追跡するのに役立ちます。

<番目>

17–18

パイプイベント

名前付きパイプの作成と接続を監視します。これは、マルウェアや Cobalt Strike などのエクスプロイト後のフレームワークで使用される一般的なプロセス間通信方法です。

<番目>

19–21

WMI イベント

WMI フィルタとコンシューマ登録を追跡します。これは、このイベントがなければほとんど痕跡を残さない、好まれているファイルレス永続化手法です。

<番目>

22

DNS クエリ

プロセスが行うすべての DNS ルックアップをログに記録することで、完全な TCP 接続が確立される前でも、既知の悪意のあるドメインへの接続を特定できるようになります。

<番目>

25

プロセス改ざん

プロセスの空洞化とヘルパダピング (検出を回避するために正規のプロセス メモリを悪意のあるコードに置き換える技術) を検出します。

<番目>

29

実行可能ファイルが検出されました

システム上での新しい実行可能 (PE 形式) ファイルの作成にフラグを立てます。これは、ドロッパーまたはインストーラーが実行されていることを示す強力な初期指標です。

これは Sysmon を起動して実行する方法です

ターミナルを開くことができれば、もうほとんどのところまで到達したことになります

Sysmon は Microsoft の Sysinternals ページ (この記事の執筆時点ではバージョン 15.15) から無料でダウンロードでき、インストールは 1 つのコマンドで実行できます。管理者権限と、PowerShell またはコマンド プロンプトを使用した簡単な迂回路が必要ですが、プロセス全体には 5 分もかかりません。

シズモン

OS Windows (Linux バージョンも利用可能)

開発者 Microsoft (Sysinternals チーム)

価格モデル 無料

Sysmon は、プロセスの起動、ネットワーク接続、ファイルの変更などの詳細な Windows アクティビティをログに記録する高度なシステム監視ツールです。バックグラウンドで実行されるため、セキュリティの専門家は PC 内で何が起こっているかを詳細に把握できます。

Microsoft Learn の公式 Sysmon ページにアクセスし、ZIP ファイル (約 4.6MB) をダウンロードして、その内容を解凍します。次に、管理者として PowerShell またはコマンド プロンプトを開き、フォルダーに移動して、次のコマンドを実行します。

.\sysmon64 -accepteula -i

これが基本的なインストールです。Sysmon はサービスとドライバーをバックグラウンドでインストールします。実際、再起動する必要さえありません。その時点から、アプリケーションとサービスのログにイベントが記録され始めます。 -> マイクロソフト -> Windows -> シスモン -> イベント ビューアで動作 。これらのログはすぐに表示できます。

アンインストールも同様に簡単です:sysmon64 -u 。このツールは決して自分自身を定着させようとはせず、私はそれを尊敬します。

これを一人で解決する必要はありません

デフォルトの Sysmon インストールは機能しますが、構成ファイルによって真価を発揮します。 Sysmon は、ログに記録するイベント、フィルタリングするイベント、および詳細度を指定する XML 構成を受け入れます。これらのファイルは、Sysmon がシステムを監視するために使用する「ロジック」を定義するため、この形式に慣れていない場合は、XML ファイルとは何か、およびその使用方法を再確認することができます。自分でゼロから書くのはプロジェクトですが、そうする必要はありません。

サイバーセキュリティ コミュニティは、優れた既成の構成をいくつか作成しました。最も広く使用されているのは、GitHub で無料で入手できる SwiftOnSecurity sysmon-config で、スター数は約 5,000 個、フォーク数は 1,700 以上です。ログを判読できなくするノイズを除去しながら、セキュリティ関連のイベントをキャプチャするように慎重に調整されています。各行にコメントが付いているので、チュートリアルとしても使えます。この設定を使用してインストールするには、次のコマンドを実行します。

sysmon64 -accepteula -i sysmonconfig-export.xml

既存のインストールを新しい構成ファイルで更新するには:

sysmon64 -c sysmonconfig-export.xml

さらにモジュール化したものが必要な場合は、Olaf Hartong による sysmon-modular プロジェクト (GitHub 上) が、MITRE ATT&CK フレームワークに直接マッピングされる、コミュニティによって管理される構成可能なアプローチを提供します。どちらも優れた出発点です。

すべての攻撃を阻止できるわけではありませんが、攻撃が発生したことはわかります

Sysmon を適切に実行するためにセキュリティ エンジニアである必要はありません。適切な構成ファイル、時々イベント ビューアを開く意欲、そしてマシン上で何か奇妙なことが起こった場合にそれを記録できるという満足感が必要です。私にとって、この安心感は 5 分間セットアップする価値が十分にあります。