BadSuccessor

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
権限昇格
説明
Windows Server 2025で導入されたDelegated Managed Service Account(dMSA)機能を悪用することで、攻撃者が任意のユーザーと同等の権限を取得できる。
攻撃時における想定利用例
新規のdMSAアカウントを作成し、CreateChildを保有する任意のアカウントに対して任意の管理アカウントの権限を「継承」する。

- ツール動作概要

- 概要

項目 接続元 接続先
通信プロトコル - -
権限 標準ユーザー 管理者ユーザー
ドメインへの所属
サービス - -
OS Windows 11 Windows Server 2025
備考 - -

- 動作確認環境

環境 動作可否
Windows 7 + Windows Server 2012 未確認
Windows 10 + Windows Server 2012 未確認
Windows 11 + Windows Server 2025 動作する

- ログから得られる情報

標準設定
  • 接続先
    • 監査ポリシー・Sysmon: 実行履歴
追加設定
  • 接続元
    • 監査ポリシー・Sysmon: 実行履歴
  • 接続先
    • 監査ポリシー: 実行履歴

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > プロセスのコマンド ライン: [実行ファイル名] tgtdeleg /nowrap
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
2 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > プロセスのコマンド ライン: [実行ファイル名] asktgs /targetuser:[dMSAアカウント名]$ /service:krbtgt/[ドメイン名] /opsec /dmsa /nowrap /ptt /ticket:<Hash>
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
  • プロセス情報 > 作成元プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
3 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > プロセスのコマンド ライン: [実行ファイル名] asktgs /user:[dMSAアカウント名]$ /service:cifs/[ドメインコントローラーFQDN] /opsec /dmsa /nowrap /ptt /ticket:<Hash>
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
  • プロセス情報 > 作成元プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > プロセスのコマンド ライン: [実行ファイルのパス] add /impersonate:Administrator /path:ou=bstest,dc=[ドメイン名] /account:[ドメインユーザー名] /name:[dMSAアカウント名]
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
2 Security 4741 Computer Account Management コンピューター アカウントが作成されました。
  • ターゲット アカウント > アカウント名: [新規作成アカウントのユーザー名]
  • ターゲット アカウント > アカウント ドメイン: [ドメイン名]
  • ターゲット アカウント > セキュリティ ID: [新しいコンピューターアカウントの SID]
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 追加情報 > 特権: -
  • 属性 > SAM アカウント名: [新規作成アカウントのユーザー名]
  • 属性 > 表示名: -
  • 属性 > ユーザー プリンシパル名: -
  • 属性 > ホーム ディレクトリ: -
  • 属性 > ホーム ドライブ: -
  • 属性 > スクリプトのパス: -
  • 属性 > プロファイル パス: -
  • 属性 > ユーザー ワークステーション: -
  • 属性 > 最後に設定されたパスワード: [パスワードが最後に設定された日時]
  • 属性 > アカウント有効期限終了日: 期限なし
  • 属性 > プライマリ グループ ID: 515
  • 属性 > 許可された委任先: -
  • 属性 > 旧 UAC の値: 0x0
  • 属性 > 新 UAC の値: 0x80
  • 属性 > ユーザー アカウント制御: Workstation Trust Account Enabled
  • 属性 > ユーザー パラメーター: [ユーザー固有の追加パラメータ]
  • 属性 > SID の履歴: [SID 履歴]
  • 属性 > ログオン時間: %%1794
  • 属性 > DNS ホスト名: [ドメイン名]\[ユーザー名]

TargetUserName、SamAccountNameに新規に作成されたdMSAアカウント名が記載される。
3 Security 4722 User Account Management ユーザー アカウントが有効化されました。
  • ターゲット アカウント > アカウント名: [新規作成アカウントのユーザー名]
  • ターゲット アカウント > アカウント ドメイン: [ドメイン名]
  • ターゲット アカウント > セキュリティ ID: [新規作成アカウントのユーザーSID]
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: 0x1547a8

TargetUserNameに新規に作成されたdMSAアカウントの情報が記載される。
4 Security 5136 Directory Service Changes ディレクトリ サービス オブジェクトが変更されました。
  • 操作 > 関連付け ID: [ログオンID]
  • 操作 > アプリケーションの関連付け ID: [アプリケーションID]
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • ディレクトリ サービス > 名前: [ドメインコントローラ名]
  • ディレクトリ サービス > 種類: %%14676
  • オブジェクト > DN: [オブジェクト名]
  • オブジェクト > GUID: [オブジェクトGUID]
  • オブジェクト > クラス: [オブジェクトクラス]
  • 属性 > LDAP 表示名: [LDAP属性名]
  • 属性 > 構文 (OID): [属性識別子]
  • 属性 > 値: CN=[dMSAアカウント名],OU=bstest,DC=[ドメイン名]
  • 操作 > 種類: %%14674

- 詳細情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > プロセスのコマンド ライン: [実行ファイル名] tgtdeleg /nowrap
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
2 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: [実行ファイルのパス] [コマンドライン]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • IntegrityLevel: Medium
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentUser: [親プロセスの実行ユーザー]
3 Security 4673 Sensitive Privilege Use 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • サービス > サーバー: Security
  • サービス > サービス名: -
  • サービス要求情報 > 特権: SeProfileSingleProcessPrivilege
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
4 Security 4673 Sensitive Privilege Use 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • サービス > サーバー: Security
  • サービス > サービス名: -
  • サービス要求情報 > 特権: SeCreateGlobalPrivilege
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
5 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
  • User: [ドメイン名]\[ユーザー名]
6 Security 5158 Filtering Platform Connection Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
7 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: Outbound
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: 64240
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 389
  • ネットワーク情報 > プロトコル: 6 (TCP)
8 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 389
9 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
10 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
11 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (or ListDirectory), WriteData (or AddFile), AppendData (or AddSubdirectory or CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
12 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteData (or AddFile), AppendData (or AddSubdirectory or CreatePipeInstance)
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
13 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
14 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\WINDOWS\system32\svchost.exe
  • TargetFilename: TargetFilename C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]
15 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > プロセスのコマンド ライン: [実行ファイル名] asktgs /targetuser:[dMSAアカウント名]$ /service:krbtgt/[ドメイン名] /opsec /dmsa /nowrap /ptt /ticket:<Hash>
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
  • プロセス情報 > 作成元プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
16 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: [実行ファイルのパス] [コマンドライン]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • IntegrityLevel: Medium
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親実行ファイルのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]
  • ParentUser: [親プロセスの実行ユーザー]
17 Security 4673 Sensitive Privilege Use 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • サービス > サーバー: Security
  • サービス > サービス名: -
  • サービス要求情報 > 特権: SeProfileSingleProcessPrivilege
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
18 Security 4673 Sensitive Privilege Use 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • サービス > サーバー: Security
  • サービス > サービス名: -
  • サービス要求情報 > 特権: SeCreateGlobalPrivilege
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
19 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
  • User: [ドメイン名]\[ユーザー名]
20 Security 5158 Filtering Platform Connection Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
21 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: Outbound
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 88
  • ネットワーク情報 > プロトコル: 6 (TCP)
22 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 88
23 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
24 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
25 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (or ListDirectory), WriteData (or AddFile), AppendData (or AddSubdirectory or CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
26 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteData (or AddFile), AppendData (or AddSubdirectory or CreatePipeInstance)
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
27 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
28 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\WINDOWS\system32\svchost.exe
  • TargetFilename: TargetFilename C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]
29 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > プロセスのコマンド ライン: [実行ファイル名] asktgs /user:[dMSAアカウント名]$ /service:cifs/[ドメインコントローラーFQDN] /opsec /dmsa /nowrap /ptt /ticket:<Hash>
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
  • プロセス情報 > 作成元プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
30 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: [実行ファイルのパス] [コマンドライン]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • IntegrityLevel: Medium
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親実行ファイルのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]
  • ParentUser: [親プロセスの実行ユーザー]
31 Security 4673 Sensitive Privilege Use 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • サービス > サーバー: Security
  • サービス > サービス名: -
  • サービス要求情報 > 特権: SeProfileSingleProcessPrivilege
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
32 Security 4673 Sensitive Privilege Use 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • サービス > サーバー: Security
  • サービス > サービス名: -
  • サービス要求情報 > 特権: SeCreateGlobalPrivilege
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
33 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
  • User: [ドメイン名]\[ユーザー名]
34 Security 5158 Filtering Platform Connection Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
35 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: Outbound
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 88
  • ネットワーク情報 > プロトコル: 6 (TCP)
36 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 88
37 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
38 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
39 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (or ListDirectory), WriteData (or AddFile), AppendData (or AddSubdirectory or CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
40 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteData (or AddFile), AppendData (or AddSubdirectory or CreatePipeInstance)
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
41 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
42 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\WINDOWS\system32\svchost.exe
  • TargetFilename: TargetFilename C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf [実行ファイル名] [実行ファイル名]

MFT

# パス ヘッダフラグ 備考
1 [実行ファイル名] FILE InUse

USNジャーナル

# ファイル名 処理 備考
1 [実行ファイル名]
  • DataExtend
  • FileCreate
  • Close
 Archive
2 [実行ファイル名]
  • BasicInfoChange
  • Close
 Archive
3 [実行ファイル名]
  • NamedDataExtend
  • StreamChange
  • Close
 Archive
4 [実行ファイル名]-[ハッシュ値].pf
  • DataExtend
  • FileCreate
  • Close
 Archive|NotContentIndexed
5 [実行ファイル名]-[ハッシュ値].pf
  • RenameOldName
 Archive|NotContentIndexed

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > プロセスのコマンド ライン: [実行ファイルのパス] add /impersonate:Administrator /path:ou=bstest,dc=[ドメイン名] /account:[ドメインユーザー名] /name:[dMSAアカウント名]
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
2 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: [実行ファイルのパス] [コマンドライン]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • IntegrityLevel: High
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentUser: [親プロセスの実行ユーザー]
3 Security 4673 Sensitive Privilege Use 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • サービス > サーバー: Security
  • サービス > サービス名: -
  • サービス要求情報 > 特権: SeCreateGlobalPrivilege
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
4 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
  • User: [ドメイン名]\[ユーザー名]
5 Security 5158 Filtering Platform Connection Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
6 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: Outbound
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 389
  • ネットワーク情報 > プロトコル: 6 (TCP)
7 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 389
8 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: HKU\[ユーザーSID]\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=[ドメイン名]
  • User: [ドメイン名]\[ユーザー名]
9 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\SchCache\[ドメイン名].sch
  • CreationUtcTime: [ファイル作成日時(UTC)]
  • User: [ドメイン名]\[ユーザー名]
10 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: HKU\[ユーザーSID]\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=[ドメイン名]\File
  • Details: %%LOCALAPPDATA%%\Microsoft\Windows\SchCache\[ドメイン名].sch
  • User: [ドメイン名]\[ユーザー名]
11 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: HKU\[ユーザーSID]\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=[ドメイン名]\Time
  • Details: 20251030021737.0Z
  • User: [ドメイン名]\[ユーザー名]
12 Security 4741 Computer Account Management コンピューター アカウントが作成されました。
  • ターゲット アカウント > アカウント名: [新規作成アカウントのユーザー名]
  • ターゲット アカウント > アカウント ドメイン: [ドメイン名]
  • ターゲット アカウント > セキュリティ ID: [新しいコンピューターアカウントの SID]
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 追加情報 > 特権: -
  • 属性 > SAM アカウント名: [新規作成アカウントのユーザー名]
  • 属性 > 表示名: -
  • 属性 > ユーザー プリンシパル名: -
  • 属性 > ホーム ディレクトリ: -
  • 属性 > ホーム ドライブ: -
  • 属性 > スクリプトのパス: -
  • 属性 > プロファイル パス: -
  • 属性 > ユーザー ワークステーション: -
  • 属性 > 最後に設定されたパスワード: [パスワードが最後に設定された日時]
  • 属性 > アカウント有効期限終了日: 期限なし
  • 属性 > プライマリ グループ ID: 515
  • 属性 > 許可された委任先: -
  • 属性 > 旧 UAC の値: 0x0
  • 属性 > 新 UAC の値: 0x80
  • 属性 > ユーザー アカウント制御: Workstation Trust Account Enabled
  • 属性 > ユーザー パラメーター: [ユーザー固有の追加パラメータ]
  • 属性 > SID の履歴: [SID 履歴]
  • 属性 > ログオン時間: %%1794
  • 属性 > DNS ホスト名: [ドメイン名]\[ユーザー名]

TargetUserName、SamAccountNameに新規に作成されたdMSAアカウント名が記載される。
13 Security 4722 User Account Management ユーザー アカウントが有効化されました。
  • ターゲット アカウント > アカウント名: [新規作成アカウントのユーザー名]
  • ターゲット アカウント > アカウント ドメイン: [ドメイン名]
  • ターゲット アカウント > セキュリティ ID: [新規作成アカウントのユーザーSID]
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: 0x1547a8

TargetUserNameに新規に作成されたdMSAアカウントの情報が記載される。
14 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
15 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
16 Security 5136 Directory Service Changes ディレクトリ サービス オブジェクトが変更されました。
  • 操作 > 関連付け ID: [ログオンID]
  • 操作 > アプリケーションの関連付け ID: [アプリケーションID]
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • ディレクトリ サービス > 名前: [ドメインコントローラ名]
  • ディレクトリ サービス > 種類: %%14676
  • オブジェクト > DN: [オブジェクト名]
  • オブジェクト > GUID: [オブジェクトGUID]
  • オブジェクト > クラス: [オブジェクトクラス]
  • 属性 > LDAP 表示名: [LDAP属性名]
  • 属性 > 構文 (OID): [属性識別子]
  • 属性 > 値: CN=[dMSAアカウント名],OU=bstest,DC=[ドメイン名]
  • 操作 > 種類: %%14674
17 Security 5136 Directory Service Changes ディレクトリ サービス オブジェクトが変更されました。
  • 操作 > 関連付け ID: [ログオンID]
  • 操作 > アプリケーションの関連付け ID: [アプリケーションID]
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • ディレクトリ サービス > 名前: [ドメインコントローラ名]
  • ディレクトリ サービス > 種類: %%14676
  • オブジェクト > DN: [オブジェクト名]
  • オブジェクト > GUID: [オブジェクトGUID]
  • オブジェクト > クラス: [オブジェクトクラス]
  • 属性 > LDAP 表示名: [LDAP属性名]
  • 属性 > 構文 (OID): [属性識別子]
  • 属性 > 値: 2
  • 操作 > 種類: %%14674
18 Security 4769 Kerberos Service Ticket Operations Kerberos サービス チケットが要求されました。
  • アカウント情報 > アカウント名: [チケットを要求したユーザー名@ドメイン名]
  • アカウント情報 > アカウント ドメイン: [ドメイン名]
  • サービス情報 > サービス名: krbtgt
  • サービス情報 > サービス ID: [チケット発行対象のユーザーSID]
  • 追加情報 > チケット オプション: Forwardable, Renewable, Canonicalize
  • ネットワーク情報 > クライアント アドレス: [接続元IPアドレス]
  • ネットワーク情報 > クライアント ポート: [接続元ポート番号]
  • 追加情報 > エラー コード: 0x0
19 Security 4769 Kerberos Service Ticket Operations Kerberos サービス チケットが要求されました。
  • アカウント情報 > アカウント名: [チケットを要求したユーザー名@ドメイン名]
  • アカウント情報 > アカウント ドメイン: [ドメイン名]
  • サービス情報 > サービス名: krbtgt
  • サービス情報 > サービス ID: [チケット発行対象のユーザーSID]
  • 追加情報 > チケット オプション: Forwardable, Renewable, Canonicalize, Renewable-ok
  • ネットワーク情報 > クライアント アドレス: [接続元IPアドレス]
  • ネットワーク情報 > クライアント ポート: [接続元ポート番号]
  • 追加情報 > エラー コード: 0x0
20 Security 4770 Kerberos Service Ticket Operations Kerberos サービス チケットが更新されました。
  • アカウント情報 > アカウント名: [チケットを要求したユーザー名@ドメイン名]
  • アカウント情報 > アカウント ドメイン: [ドメイン名]
  • サービス情報 > サービス名: krbtgt
  • サービス情報 > サービス ID: [チケット発行対象のユーザーSID]
  • 追加情報 > チケット オプション: RENEWABLE, RENEWABLE-OK
  • ネットワーク情報 > クライアント アドレス: [接続元IPアドレス]
  • ネットワーク情報 > クライアント ポート: [接続元ポート番号]
21 Security 4769 Kerberos Service Ticket Operations Kerberos サービス チケットが要求されました。
  • アカウント情報 > アカウント名: [チケットを要求したユーザー名@ドメイン名]
  • アカウント情報 > アカウント ドメイン: [ドメイン名]
  • サービス情報 > サービス名: krbtgt
  • サービス情報 > サービス ID: [チケット発行対象のユーザーSID]
  • 追加情報 > チケット オプション: Forwardable, Renewable, Canonicalize
  • ネットワーク情報 > クライアント アドレス: [接続元IPアドレス]
  • ネットワーク情報 > クライアント ポート: [接続元ポート番号]
  • 追加情報 > エラー コード: 0x0
22 Security 4770 Kerberos Service Ticket Operations Kerberos サービス チケットが更新されました。
  • アカウント情報 > アカウント名: [チケットを要求したユーザー名@ドメイン名]
  • アカウント情報 > アカウント ドメイン: [ドメイン名]
  • サービス情報 > サービス名: krbtgt
  • サービス情報 > サービス ID: [チケット発行対象のユーザーSID]
  • 追加情報 > チケット オプション: RENEWABLE, RENEWABLE-OK
  • ネットワーク情報 > クライアント アドレス: [接続元IPアドレス]
  • ネットワーク情報 > クライアント ポート: [接続元ポート番号]
23 Security 4769 Kerberos Service Ticket Operations Kerberos サービス チケットが要求されました。
  • アカウント情報 > アカウント名: [チケットを要求したユーザー名@ドメイン名]
  • アカウント情報 > アカウント ドメイン: [ドメイン名]
  • サービス情報 > サービス名: krbtgt
  • サービス情報 > サービス ID: [チケット発行対象のユーザーSID]
  • 追加情報 > チケット オプション: Forwardable, Renewable, Canonicalize, Renewable-ok
  • ネットワーク情報 > クライアント アドレス: [接続元IPアドレス]
  • ネットワーク情報 > クライアント ポート: [接続元ポート番号]
  • 追加情報 > エラー コード: 0x0
24 Security 4672 Special Logon 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 特権: SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege SeEnableDelegationPrivilege
25 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 新しいログオン > セキュリティ ID: [ユーザーSID]
  • 新しいログオン > アカウント名: [ユーザー名]
  • 新しいログオン > アカウント ドメイン: [ドメイン名]
  • 新しいログオン > ログオン ID: 0x33a004
  • ログオン情報 > ログオン タイプ: 3
  • 詳細な認証情報 > ログオン プロセス: Kerberos
  • 詳細な認証情報 > 認証パッケージ: Kerberos
  • ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • 偽装レベル: 偽装
  • ログオン情報 > 昇格されたトークン: True
26 Security 4627 Group Membership グループ メンバーシップ情報。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 新しいログオン > セキュリティ ID: [ユーザーSID]
  • 新しいログオン > アカウント名: [ユーザー名]
  • 新しいログオン > アカウント ドメイン: [ドメイン名]
  • 新しいログオン > ログオン ID: 0x33a004
  • ログオン タイプ: 3
  • シーケンスのイベント(分子): 1
  • シーケンスのイベント(分母): 1
  • グループ メンバーシップ: [グループSID]
27 Security 5140 File Share ネットワーク共有オブジェクトにアクセスしました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [接続元ポート番号]
  • 共有情報 > 共有名: \\*\IPC$
  • アクセス要求情報 > アクセス: ReadData (or ListDirectory)
28 Security 5140 File Share ネットワーク共有オブジェクトにアクセスしました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [接続元ポート番号]
  • 共有情報 > 共有名: \\*\C$
  • 共有情報 > 共有パス: \??\C:\
  • アクセス要求情報 > アクセス: ReadData (or ListDirectory)
29 Security 5145 Detailed File Share クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [接続元ポート番号]
  • 共有情報 > 共有名: \\*\C$
  • 共有情報 > 共有パス: \??\C:\
  • 共有情報 > 相対ターゲット名: \
  • アクセス要求情報 > アクセス: ReadAttributes
  • アクセス要求情報 > アクセス チェック結果: -
30 Security 5145 Detailed File Share クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [接続元ポート番号]
  • 共有情報 > 共有名: \\*\C$
  • 共有情報 > 共有パス: \??\C:\
  • 共有情報 > 相対ターゲット名: \
  • アクセス要求情報 > アクセス: SYNCHRONIZE ReadData (or ListDirectory) ReadAttributes
  • アクセス要求情報 > アクセス チェック結果: -

レジストリエントリ

# パス 備考
1 HKU\[ユーザーSID]\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=[ドメイン名]\File %%LOCALAPPDATA%%\Microsoft\Windows\SchCache\[ドメイン名].sch
2 HKU\[ユーザーSID]\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=[ドメイン名]\Time [タイムスタンプ]

MFT

# パス ヘッダフラグ 備考
1 [実行ファイルのパス] FILE InUse

USNジャーナル

# ファイル名 処理 備考
1 [実行ファイル名]
  • DataOverwrite
  • DataExtend
  • FileCreate
  • BasicInfoChange
  • Close