BITS

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
ファイル共有・転送
説明
バックグラウンドでファイルを送受信する。(送受信の際、優先度などを設定することが可能)
攻撃時における想定利用例
他の通信と比較して目立たない程度の帯域で、ファイルを送受信する。

- ツール動作概要

項目 接続元 接続先
ドメインへの所属 不要
OS Windows
権限 標準ユーザー
通信プロトコル 445/tcp

- ログから得られる情報

標準設定
  • 接続元
    • Background Intelligent Transfer Service の実行状態が変わることで、判断出来る可能性がある。※ただし、BITSが既に動作している場合は判断できない (システム イベントログ)
  • 接続先
    • 有益な情報は記録されない
追加設定
  • 接続元
    • BITSにより作成される一時ファイル"BITS[ランダム数字].tmp" に対する書き込み (監査ポリシー, Sysmon)
    • 一時ファイル"BITS[ランダム数字].tmp"のリネーム発生 (USNジャーナル)
  • 接続先
    • 共有"\\*\BITS"に対するアクセスの発生 (監査ポリシー)

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • CommandLine: 実行コマンドのコマンドライン (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • User: 実行ユーザー
2 Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\BITS\Start)
  • Details: レジストリに書き込まれた設定値 (DWORD=0x00000002)
3 システム 7040 Service Control Manager [サービス] サービスの開始の種類は [変更前] から [変更後] に変更されました。
  • サービス: 対象のサービス (Background Intelligent Transfer Service)
  • 変更前: 変更前の開始の種類 (要求による開始)
  • 変更後: 変更後の開始の種類 (自動的な開始)
4 Microsoft-Windows-Bits-Client/Operational 59 Bits-Client BITS は、[URL] URLに関連付けられている BITS Transfer 転送ジョブを開始しました。
  • URL: 対象ファイルのUNCパス (\\[接続先]\BITS\[ファイル名])
5 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: 対象のファイル名 ([実行パス]\BIT[数字].tmp)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\system32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteData, AppendData, WriteAttributes)
6 Microsoft-Windows-Bits-Client/Operational 60 Bits-Client BITS は、URL [URL] に関連付けられている BITS Transfer 転送ジョブの転送を停止しました。状態コードは [状態コード] です。
  • URL: 対象ファイルのUNCパス (\\[接続先]\BITS\[ファイル名])
  • 状態コード: 処理の戻り値 (0x0)

レジストリエントリ

# パス
1 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\BITS Writer (Key)

USNジャーナル

# ファイル名 処理
1 BIT[数字].tmp RENAME_OLD_NAME
2 [受信したファイル] RENAME_NEW_NAME

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 セキュリティ 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 共有名 (\\*\BITS)
  • 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (ファイル名)
  • アクセス要求情報 > アクセス: 要求された権限 (SYNCHRONIZE, ReadDataまたはListDirectory, ReadEA, ReadAttributes, READ_CONTROL)

- 詳細:接続元

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • CommandLine: 実行コマンドのコマンドライン (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (Medium)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否 (Mandatory Label\Medium Mandatory Level)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
2 Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\{1NP14R77-02R7-4R5Q-O744-2RO1NR5198O7}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr)
  • Details: レジストリに書き込まれた設定値 (Binary Data)
3 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[ランダム文字列].temp)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[ランダム文字列].temp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[ランダム文字列].temp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
4 セキュリティ 4673 重要な特権の使用 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス > プロセス名: 特権を使用したプロセス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • プロセス > プロセスID: 特権を使用したプロセスのプロセスID
  • サービス要求情報 > 特権: 使用された特権 (SeCreateGlobalPrivilege)
5 Microsoft-Windows-PowerShell/Operational 40961 PowerShell コンソールの起動 PowerShell コンソールを起動しています
Microsoft-Windows-PowerShell/Operational 53504 PowerShell 名前付きパイプ IPC Windows PowerShell は、[ドメイン] のプロセス [プロセスID] で IPC リッスン スレッドを開始しました。
Microsoft-Windows-PowerShell/Operational 40962 PowerShell コンソールの起動 PowerShell コンソールはユーザー入力を受け入れられるようになりました
6 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].ps1)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
7 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].psm1)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
8 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETEを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4660 ファイル システム オブジェクトが削除されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
9 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETEを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[ランダム文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4660 ファイル システム オブジェクトが削除されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
10 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • TargetFilename: 作成されたファイル (C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
11 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
12 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\svchost.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\svchost.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\BITS)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\svchost.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToBackup\BITS_LOG)
  • Details: レジストリに書き込まれた設定値 (Binary Data)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\svchost.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToBackup\BITS_BAK)
  • Details: レジストリに書き込まれた設定値 (Binary Data)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\BITS\Start)
  • Details: レジストリに書き込まれた設定値 (DWORD=0x00000002)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\svchost.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\BITS\Performance)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\svchost.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\BITS Writer)
13 システム 7040 Service Control Manager [サービス] サービスの開始の種類は [変更前] から [変更後] に変更されました。
  • サービス: 対象のサービス (Background Intelligent Transfer Service)
  • 変更前: 変更前の開始の種類 (要求による開始)
  • 変更後: 変更後の開始の種類 (自動的な開始)
14 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID (4)
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (445)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (445)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
15 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
16 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\system32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\system32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\system32\svchost.exe)
17 Microsoft-Windows-Bits-Client/Operational 3 Bits-Client BITS サービスが新しいジョブを作成しました。
  • 転送ジョブ: BITS Transfer
  • ジョブID: {[GUID]}
  • 所有者: ジョブの所有者
  • プロセス パス: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  • プロセスID:
Microsoft-Windows-Bits-Client/Operational 59 Bits-Client BITS は、[URL] URLに関連付けられている BITS Transfer 転送ジョブを開始しました。
  • URL: 対象ファイルのUNCパス (\\[接続先]\BITS\[ファイル名])
18 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\system32\svchost.exe)
  • TargetFilename: 作成されたファイル ([実行パス]\BIT[数字].tmp)
  • CreationUtcTime: ファイル作成日時 (UTC)
Microsoft-Windows-Sysmon/Operational 2 File creation time changed (rule: FileCreateTime) File creation time changed.
  • UtcTime: 変更が発生した日時 (UTC)
  • Image: 実行ファイルのパス (C:\Windows\system32\svchost.exe)
  • TargetFilename: 変更されたファイルの名前 ([実行パス]\BIT[数字].tmp)
  • CreationUtcTime: 変更後のタイムスタンプ (UTC)
  • PreviousCreationUtcTime: 変更前のタイムスタンプ (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 ([実行パス]\BIT[数字].tmp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\system32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData, WriteAttributesを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 ([実行パス]\BIT[数字].tmp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\system32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限WriteData, AppendData, WriteAttributes
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\system32\svchost.exe)
19 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 ([実行パス]\BIT[数字].tmp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETEを含む)
20 Microsoft-Windows-Bits-Client/Operational 60 Bits-Client BITS は、URL [URL] に関連付けられている BITS Transfer 転送ジョブの転送を停止しました。状態コードは [状態コード] です。
  • URL: 対象ファイルのUNCパス (\\[接続先]\BITS\[ファイル名])
  • 状態コード: 処理の戻り値 (0x0)
Microsoft-Windows-Bits-Client/Operational 4 Bits-Client 転送ジョブが完了しました。
  • ユーザー: 実行ユーザー
  • 転送ジョブ: BITS Transfer
  • ジョブID: {[GUID]}
  • 所有者: ジョブの所有者
  • ファイル数: 転送したファイルの数 (1)
21 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\powershell.exe.log)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\powershell.exe.log)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\powershell.exe.log)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
22 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-Interactive)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-Interactive)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-Interactive)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
23 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0xC000013A)

- MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline FOLDER ALLOCATED
[ドライブ名]:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt FILE ALLOCATED
2 [受信したファイル] FILE ALLOCATED
3 [ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\powershell.exe.log FILE ALLOCATED
[ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-Interactive FILE ALLOCATED

- Prefetch

# Prefetchファイル プロセス名 プロセスパス ログから得られる情報
1 C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf POWERSHELL.EXE C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Last Run Time (最終実行日時)

- レジストリエントリ

# パス 種類
1 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VSS\Diag\BITS Writer Key (値の設定無し)
2 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\{1NP14R77-02R7-4R5Q-O744-2RO1NR5198O7}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr Binary 00 00 00 00 01 00 00 00 01 00 00 00 96 92 01 00 00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF 00 00 80 BF FF FF FF FF 50 17 8E 1D 56 1D D2 01 00 00 00 00

- UserAssist

# レジストリエントリ ログから得られる情報
1 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\{1NP14R77-02R7-4R5Q-O744-2RO1NR5198O7}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr 初回実行日時、累計実行回数

- USNジャーナル

# ファイル名 処理 属性
1 PSReadline FILE_CREATE directory
PSReadline CLOSE+FILE_CREATE directory
2 ConsoleHost_history.txt FILE_CREATE archive
ConsoleHost_history.txt DATA_EXTEND+FILE_CREATE archive
ConsoleHost_history.txt CLOSE+DATA_EXTEND+FILE_CREATE archive
ConsoleHost_history.txt DATA_EXTEND archive
ConsoleHost_history.txt CLOSE+DATA_EXTEND archive
3 qmgr0.dat DATA_EXTEND archive
qmgr0.dat DATA_EXTEND+DATA_OVERWRITE archive
qmgr0.dat DATA_EXTEND+DATA_OVERWRITE+DATA_TRUNCATION archive
4 BIT[数字].tmp FILE_CREATE archive
BIT[数字].tmp CLOSE+FILE_CREATE archive
BIT[数字].tmp DATA_TRUNCATION archive
BIT[数字].tmp CLOSE+DATA_TRUNCATION archive
BIT[数字].tmp DATA_EXTEND+DATA_TRUNCATION archive
BIT[数字].tmp DATA_EXTEND+DATA_OVERWRITE+DATA_TRUNCATION archive
BIT[数字].tmp BASIC_INFO_CHANGE+DATA_EXTEND+DATA_OVERWRITE+DATA_TRUNCATION archive
BIT[数字].tmp BASIC_INFO_CHANGE+CLOSE+DATA_EXTEND+DATA_OVERWRITE+DATA_TRUNCATION archive
BIT[数字].tmp BASIC_INFO_CHANGE+CLOSE archive
BIT[数字].tmp RENAME_OLD_NAME archive
[受信したファイル] RENAME_NEW_NAME archive
[受信したファイル] CLOSE+RENAME_NEW_NAME archive
5 powershell.exe.log FILE_CREATE archive
powershell.exe.log DATA_EXTEND+FILE_CREATE archive
powershell.exe.log CLOSE+DATA_EXTEND+FILE_CREATE archive
6 StartupProfileData-Interactive FILE_CREATE archive
StartupProfileData-Interactive DATA_EXTEND+FILE_CREATE archive
StartupProfileData-Interactive CLOSE+DATA_EXTEND+FILE_CREATE archive

- 詳細:接続先

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID (4)
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (445)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (445)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
2 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数) (0x0)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 接続元ポート番号 (ハイポート)
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
セキュリティ 5140 ファイルの共有 ネットワーク共有オブジェクトにアクセスしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > オブジェクトの種類: 対象の区分 (File)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 使用された共有名 (\\*\IPC$)
  • 共有情報 > 共有パス: 共有のパス
  • アクセス要求情報 > アクセス: 要求された権限 (ReadDataまたはListDirectory)
3 セキュリティ 5140 ファイルの共有 ネットワーク共有オブジェクトにアクセスしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > オブジェクトの種類: 対象の区分 (File)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 使用された共有名 (\\*\BITS)
  • 共有情報 > 共有パス: 共有のパス (\??\C:\BITS)
  • アクセス要求情報 > アクセス: 要求された権限 (ReadDataまたはListDirectory)
セキュリティ 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 共有名 (\\*\BITS)
  • 共有情報 > 共有パス: 共有のパス (\??\C:\BITS)
  • 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (ファイル名)
  • アクセス要求情報 > アクセス: 要求された権限 (ReadAttributes)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (389)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (17=UDP)
  • ネットワーク情報 > プロトコル: 使用したプロトコル
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (17=UDP)
5 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (6=TCP)
  • ネットワーク情報 > プロトコル: 使用したプロトコル
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
6 セキュリティ 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 共有名 (\\*\BITS)
  • 共有情報 > 共有パス: 共有のパス \??\C:\BITS
  • 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (ファイル名)
  • アクセス要求情報 > アクセス: 要求された権限 (SYNCHRONIZE, ReadDataまたはListDirectory, ReadEA, ReadAttributes, READ_CONTROL)
7 セキュリティ 4634 ログオフ アカウントがログオフしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオン タイプ: ログオンの経路・方式など (3=ネットワーク)

- パケットキャプチャ

# 処理 送信元ホスト 送信元ポート番号 宛先ホスト 宛先ポート番号 プロトコル/アプリケーション
1 Negotiate Protocol Request [接続元] [ハイポート] [接続先] 445 SMB2
Negotiate Protocol Response [接続先] 445 [接続元] [ハイポート] SMB2
2 Session Setup Request [接続元] [ハイポート] [接続先] 445 SMB2
Session Setup Response [接続先] 445 [接続元] [ハイポート] SMB2
3 Tree Connect Request Tree: \\[接続先のNetBIOS名]\IPC$ [接続元] [ハイポート] [接続先] 445 SMB2
Tree Connect Response [接続先] 445 [接続元] [ハイポート] SMB2
4 Ioctl Request FSCTL_VALIDATE_NEGOTIATE_INFO [接続元] [ハイポート] [接続先] 445 SMB2
Ioctl Response, Error: STATUS_FILE_CLOSED [接続先] 445 [接続元] [ハイポート] SMB2
5 Ioctl Request FSCTL_DFS_GET_REFERRALS, File: \[接続先のNetBIOS名]\BITS [接続元] [ハイポート] [接続先] 445 SMB2
Ioctl Response, Error: STATUS_FS_DRIVER_REQUIRED [接続先] 445 [接続元] [ハイポート] SMB2
6 Tree Connect Request Tree: \\[接続先のNetBIOS名]\BITS [接続元] [ハイポート] [接続先] 445 SMB2
Tree Connect Response [接続先] 445 [接続元] [ハイポート] SMB2
7 Ioctl Request FSCTL_VALIDATE_NEGOTIATE_INFO [接続元] [ハイポート] [接続先] 445 SMB2
Ioctl Response, Error: STATUS_FILE_CLOSED [接続先] 445 [接続元] [ハイポート] SMB2
8 Create Request File: [ファイル名] [接続元] [ハイポート] [接続先] 445 SMB2
Create Response File: [ファイル名] [接続先] 445 [接続元] [ハイポート] SMB2
9 Close Request File: [ファイル名] [接続元] [ハイポート] [接続先] 445 SMB2
Close Response [接続先] 445 [接続元] [ハイポート] SMB2
10 Create Request File: ? [接続元] [ハイポート] [接続先] 445 SMB2
Create Response File: [unknown] [接続先] 445 [接続元] [ハイポート] SMB2
11 GetInfo Request FS_INFO/FileFsSizeInformation File: [unknown] [接続元] [ハイポート] [接続先] 445 SMB2
GetInfo Response [接続先] 445 [接続元] [ハイポート] SMB2
12 GetInfo Request FS_INFO/FileFsSizeInformation File: [unknown] [接続元] [ハイポート] [接続先] 445 SMB2
GetInfo Response [接続先] 445 [接続元] [ハイポート] SMB2
13 GetInfo Request FS_INFO/FileFsSizeInformation File: [unknown] [接続元] [ハイポート] [接続先] 445 SMB2
GetInfo Response [接続先] 445 [接続元] [ハイポート] SMB2
14 Read Request Len:[長さ] Off:0 File: [ファイル名] [接続元] [ハイポート] [接続先] 445 SMB2
Read Response [接続先] 445 [接続元] [ハイポート] SMB2
15 Tree Disconnect Request [接続元] [ハイポート] [接続先] 445 SMB2
Tree Disconnect Response [接続先] 445 [接続元] [ハイポート] SMB2
16 Session Logoff Request [接続元] [ハイポート] [接続先] 445 SMB2
Session Logoff Response [接続先] 445 [接続元] [ハイポート] SMB2

- 備考