Windowsイベントログ連携
このガイドでは、WindowsエンドポイントにKYRA EDRエージェントをインストールし、Windows Security、System、Sysmonイベントログを収集してKYRA MDRに転送する方法を説明します。
対応バージョン: Windows 10/11、Windows Server 2016、2019、2022、2025
前提条件
- KYRA MDR Collectorがインストール済みで稼働中(インストールガイド)
- Windows管理者アクセス
- CollectorまたはKYRAプラットフォームへの直接ネットワーク接続性
ステップ1:KYRA EDRエージェントのインストール
PowerShell(推奨)
管理者としてPowerShellを実行:
# KYRA EDRエージェントのダウンロードとインストールInvoke-WebRequest -Uri "https://install.kyra.ai/edr/windows" -OutFile "$env:TEMP\kyra-edr-setup.msi"Start-Process msiexec.exe -ArgumentList "/i $env:TEMP\kyra-edr-setup.msi TENANT_ID=your-tenant-id API_KEY=your-api-key /quiet" -Waitエージェントの動作:
- Windowsサービス(
KYRA EDR Agent)としてインストール - Security、System、Applicationイベントチャネルをサブスクライブ
- KYRA Collectorまたはプラットフォームへのイベント転送を開始
グループポリシーデプロイメント
Active Directory GPO経由で複数のエンドポイントにデプロイする場合:
- Console > Settings > Downloads からMSIをダウンロード
- テナントIDとAPIキーを含む
transform.mstファイルを作成 - Computer Configuration > Policies > Software Settings > Software installation 経由でデプロイ
ステップ2:Windows監査ポリシーの設定
Windowsはデフォルトで多くの重要なイベントをログに記録しません。意味のあるセキュリティテレメトリを取得するために、推奨される監査ポリシーを有効化してください。
グループポリシー(GPO)を使用
Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration に移動:
| カテゴリ | サブカテゴリ | 設定 |
|---|---|---|
| アカウントログオン | 資格情報の確認 | 成功、失敗 |
| アカウントログオン | Kerberos認証サービス | 成功、失敗 |
| アカウント管理 | ユーザーアカウント管理 | 成功、失敗 |
| アカウント管理 | セキュリティグループ管理 | 成功、失敗 |
| ログオン/ログオフ | ログオン | 成功、失敗 |
| ログオン/ログオフ | 特別なログオン | 成功 |
| オブジェクトアクセス | ファイルシステム | 失敗 |
| ポリシーの変更 | 監査ポリシーの変更 | 成功 |
| 特権の使用 | 機密性の高い特権の使用 | 成功、失敗 |
| プロセス作成 | プロセスの作成 | 成功 |
| システム | セキュリティ状態の変更 | 成功 |
PowerShellを使用
# 重要な監査ポリシーの有効化auditpol /set /subcategory:"Logon" /success:enable /failure:enableauditpol /set /subcategory:"Credential Validation" /success:enable /failure:enableauditpol /set /subcategory:"User Account Management" /success:enable /failure:enableauditpol /set /subcategory:"Security Group Management" /success:enable /failure:enableauditpol /set /subcategory:"Special Logon" /success:enableauditpol /set /subcategory:"Process Creation" /success:enableauditpol /set /subcategory:"Audit Policy Change" /success:enable
# プロセス作成イベントにコマンドラインログを有効化reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit" /v ProcessCreationIncludeCmdLine_Enabled /t REG_DWORD /d 1 /f重要: コマンドラインプロセス監査を有効化してください — これがないと、イベントID 4688はプロセス名のみを表示し、完全なコマンドは表示されません。これはファイルレスマルウェアやLOLBins(Living Off the Land Binaries)の検出に不可欠です。
ステップ3:Sysmonのインストール(推奨)
Microsoft Sysmonは、ネイティブのWindowsイベントをはるかに超える詳細なプロセス、ネットワーク、ファイルアクティビティのログを提供します。
# SysmonのダウンロードInvoke-WebRequest -Uri "https://live.sysinternals.com/Sysmon64.exe" -OutFile "$env:TEMP\Sysmon64.exe"
# KYRAの推奨Sysmon設定のダウンロードInvoke-WebRequest -Uri "https://install.kyra.ai/sysmon/config.xml" -OutFile "$env:TEMP\sysmonconfig.xml"
# 設定付きでSysmonをインストール& "$env:TEMP\Sysmon64.exe" -accepteula -i "$env:TEMP\sysmonconfig.xml"KYRA EDRエージェントは Microsoft-Windows-Sysmon/Operational チャネルからSysmonイベントを自動的に収集します。
監視対象の主要イベントID
Windowsセキュリティイベント
| イベントID | カテゴリ | 説明 | 検出用途 |
|---|---|---|---|
| 4624 | ログオン | 成功したログオン | ラテラルムーブメント、異常なアクセス |
| 4625 | ログオン | 失敗したログオン | ブルートフォース、パスワードスプレー |
| 4648 | ログオン | 明示的な資格情報ログオン | Pass-the-Hash、資格情報の窃取 |
| 4672 | ログオン | 特別な権限の割り当て | 権限昇格 |
| 4688 | プロセス | 新しいプロセスの作成 | マルウェア実行、LOLBins |
| 4697 | システム | サービスのインストール | 永続化、バックドアのインストール |
| 4720 | アカウント | ユーザーアカウントの作成 | 不正なアカウント作成 |
| 4722 | アカウント | ユーザーアカウントの有効化 | 休止アカウントのアクティベーション |
| 4728 | アカウント | セキュリティグループにメンバー追加 | 権限昇格 |
| 4732 | アカウント | ローカルグループにメンバー追加 | ローカル管理者昇格 |
| 4768 | Kerberos | Kerberos TGTの要求 | Pass-the-Ticket、Golden Ticket |
| 4769 | Kerberos | Kerberosサービスチケットの要求 | Kerberoasting |
| 4776 | 資格情報 | 資格情報の確認 | NTLM認証監視 |
| 5156 | ファイアウォール | Windowsファイアウォールが接続を許可 | ネットワークアクティビティベースライン |
| 7045 | システム | 新しいサービスのインストール | 永続化メカニズム |
Sysmonイベント
| イベントID | 説明 | 検出用途 |
|---|---|---|
| 1 | プロセス作成(ハッシュ付き) | マルウェア検出、LOLBin悪用 |
| 3 | ネットワーク接続 | C2通信、データ流出 |
| 7 | イメージロード(DLL) | DLLインジェクション、サイドローディング |
| 8 | CreateRemoteThread | プロセスインジェクション |
| 10 | プロセスアクセス | 資格情報ダンプ(LSASS) |
| 11 | ファイル作成 | ドロッパー検出、ステージング |
| 13 | レジストリ値の設定 | 永続化、設定変更 |
| 22 | DNSクエリ | C2ドメインルックアップ、DNSトンネリング |
ステップ4:イベントの流入確認
Windowsエンドポイント側
# KYRA EDRエージェントが実行中か確認Get-Service "KYRA EDR Agent"
# 最新のエージェントログを表示Get-Content "C:\ProgramData\KYRA\EDR\logs\agent.log" -Tail 20
# イベントサブスクリプションがアクティブか確認wevtutil qe "KYRA-EDR/Operational" /c:5 /rd:true /f:textKYRAコンソール
- Log Search に移動します
source_type:windowsでフィルタリングするか、ホスト名で検索します- Windowsセキュリティイベント(4624、4625など)が表示されるはずです
- Sysmonがインストールされている場合、
source_type:sysmonで検索します
テストイベントの生成
# ログオン失敗イベントの生成(イベントID 4625)net use \\localhost\IPC$ /user:TESTUSER wrongpassword 2>$null
# プロセス作成イベントの生成(イベントID 4688/Sysmon 1)cmd.exe /c whoami
# アカウント管理イベントの生成(イベントID 4720)# 警告:実際のユーザーが作成されます — テストシステムでのみ使用してくださいnet user KYRATest P@ssw0rd123 /addnet user KYRATest /delete検出ルール
KYRA MDRにはWindowsイベント用の組み込み検出ルールが含まれています:
| 検出 | イベントID | MITRE ATT&CK | 説明 |
|---|---|---|---|
| ブルートフォース | 4625 | T1110 | 短期間での複数のログオン失敗 |
| Pass-the-Hash | 4624(Type 3) | T1550.002 | 異常なソースからのNTLMログオン |
| Kerberoasting | 4769 | T1558.003 | RC4暗号化サービスチケット要求 |
| LSASSアクセス | Sysmon 10 | T1003.001 | LSASSメモリにアクセスするプロセス |
| 不審なプロセス | 4688/Sysmon 1 | T1059 | 既知の攻撃ツール(mimikatz、psexecなど) |
| 新規サービス | 7045 | T1543.003 | 通常でないパスからインストールされたサービス |
| 管理者グループ変更 | 4728/4732 | T1098 | 特権グループへのユーザー追加 |
| スケジュールタスク | 4698 | T1053.005 | 新しいスケジュールタスクの作成 |
トラブルシューティング
コンソールにイベントが表示されない
- エージェントは実行中?
Get-Service "KYRA EDR Agent"を確認 - 監査ポリシーは有効?
auditpol /get /category:*を実行して確認 - ファイアウォール? エージェントがCollectorまたは
ingest.seekerslab.com:443に到達できることを確認 - イベントログ権限? エージェントは
LOCAL SYSTEMとして実行されるため、アクセス権があるはずです
プロセスイベントの欠落
- プロセス作成監査が有効であることを確認:
auditpol /get /subcategory:"Process Creation" - ステップ2に記載のレジストリキーでコマンドラインログを有効化
- より詳細なプロセステレメトリのためにSysmonをインストール
高CPU・メモリ使用率
KYRA EDRエージェントは通常、CPU 1%未満、RAM 50 MB未満を使用します。使用率が高い場合:
C:\ProgramData\KYRA\EDR\logs\agent.logのログファイルでエラーを確認- Sysmon設定が過度に広範でないか確認(例:すべてのネットワーク接続をログ)
- エージェントを再起動:
Restart-Service "KYRA EDR Agent"