| 1 |
Microsoft-Windows-Sysmon/Operational |
1 |
Process Create (rule: ProcessCreate) |
Process Create.
- UtcTime: プロセス実行日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (サーバー検体のパス)
- CommandLine: 実行コマンドのコマンドライン (サーバー検体のパス)
- CurrentDirectory: 作業ディレクトリ
- User: 実行ユーザー
- LogonGuid/LogonId: ログオンセッションのID
- IntegrityLevel: 特権レベル
- Hashes: 実行ファイルのハッシュ値
- ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
- ParentImage: 親プロセスの実行ファイル
- ParentCommandLine: 親プロセスのコマンドライン
|
| セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > 新しいプロセスID: プロセスID (16進数)
- プロセス情報 > 新しいプロセス名: 実行ファイルのパス (サーバー検体のパス)
- プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
- プロセス情報 > 必須ラベル: 権限昇格の要否
- プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
- プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
- ログの日時: プロセス実行日時 (ローカル時刻)
|
| 2 |
Microsoft-Windows-Sysmon/Operational |
1 |
Process Create (rule: ProcessCreate) |
Process Create.
- UtcTime: プロセス実行日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\SysWOW64\netsh.exe)
- CommandLine: 実行コマンドのコマンドライン (netsh advfirewall firewall delete rule name=Trend protocol=TCP dir=in localport=[接続先ポート番号])
- CurrentDirectory: 作業ディレクトリ
- User: 実行ユーザー
- LogonGuid/LogonId: ログオンセッションのID
- IntegrityLevel: 特権レベル (Medium)
- Hashes: 実行ファイルのハッシュ値
- ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
- ParentImage: 親プロセスの実行ファイル (サーバー検体のパス)
- ParentCommandLine: 親プロセスのコマンドライン(サーバー検体のパス)
|
| セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > 新しいプロセスID: プロセスID (16進数)
- プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\SysWOW64\netsh.exe)
- プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
- プロセス情報 > 必須ラベル: 権限昇格の要否
- プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
- プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
- ログの日時: プロセス実行日時 (ローカル時刻)
|
| 3 |
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (サーバー検体のパス)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\SysWOW64\netsh.exe)
- GrantedAccess: 許可されたアクセスの内容
|
| 4 |
Microsoft-Windows-Sysmon/Operational |
1 |
Process Create (rule: ProcessCreate) |
Process Create.
- UtcTime: プロセス実行日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\SysWOW64\netsh.exe)
- CommandLine: 実行コマンドのコマンドライン (netsh advfirewall firewall add rule name=Trend protocol=TCP dir=in localport=[接続先ポート番号] action=allow)
- CurrentDirectory: 作業ディレクトリ
- User: 実行ユーザー
- LogonGuid/LogonId: ログオンセッションのID
- IntegrityLevel: 特権レベル (Medium)
- Hashes: 実行ファイルのハッシュ値
- ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
- ParentImage: 親プロセスの実行ファイル (サーバー検体のパス)
- ParentCommandLine: 親プロセスのコマンドライン(サーバー検体のパス)
|
| セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > 新しいプロセスID: プロセスID (16進数)
- プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\SysWOW64\netsh.exe)
- プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
- プロセス情報 > 必須ラベル: 権限昇格の要否
- プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
- プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
- ログの日時: プロセス実行日時 (ローカル時刻)
|
| 5 |
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (サーバー検体のパス)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\SysWOW64\netsh.exe)
- GrantedAccess: 許可されたアクセスの内容
|
| 6 |
Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted (rule: RegistryEvent) |
Registry object added or deleted.
- EventType: 処理の種類 (CreateKey)
- Image: 実行ファイルのパス (C:\Windows\SysWOW64\netsh.exe)
- ProcessGuid/ProcessId: プロセスID
- TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSEC)
|
| 7 |
Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated (rule: ProcessTerminate) |
Process terminated.
- UtcTime: プロセス終了日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\SysWOW64\netsh.exe)
|
| セキュリティ |
4689 |
プロセス終了 |
プロセスが終了しました。
- ログの日時: プロセス終了日時 (ローカル時刻)
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\SysWOW64\netsh.exe)
- プロセス情報 > 終了状態: プロセスの戻り値 (0x1)
|
| 8 |
Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated (rule: ProcessTerminate) |
Process terminated.
- UtcTime: プロセス終了日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\SysWOW64\netsh.exe)
|
| セキュリティ |
4689 |
プロセス終了 |
プロセスが終了しました。
- ログの日時: プロセス終了日時 (ローカル時刻)
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\SysWOW64\netsh.exe)
- プロセス情報 > 終了状態: プロセスの戻り値 (0x1)
|
| 9 |
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
- TargetFilename: 作成されたファイル (C:\Windows\Prefetch\NETSH.EXE-[文字列].pf)
- CreationUtcTime: ファイル作成日時 (UTC)
|
| セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NETSH.EXE-[文字列].pf)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
|
| セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
- 成功の監査: 成否 (アクセス成功)
|
| セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
|
| 10 |
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (サーバー検体のパス)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ポート番号)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
| セキュリティ |
5154 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、アプリケーションまたはサービスによるポートでの着信接続のリッスンが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (サーバー検体のパス)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ポート番号)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
| 11 |
Microsoft-Windows-Sysmon/Operational |
1 |
Process Create (rule: ProcessCreate) |
Process Create.
- UtcTime: プロセス実行日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\rundll32.exe)
- CommandLine: 実行コマンドのコマンドライン (C:\Windows\System32\rundll32.exe C:\Windows\System32\FirewallControlPanel.dll,ShowNotificationDialog /ETOnly 0 /OnProfiles 7 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 2 "[サーバー検体のパス]")
- CurrentDirectory: 作業ディレクトリ
- User: 実行ユーザー
- LogonGuid/LogonId: ログオンセッションのID
- IntegrityLevel: 特権レベル (Medium)
- Hashes: 実行ファイルのハッシュ値
- ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
- ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\svchost.exe)
- ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork)
|
| セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- サブジェクト > セキュリティID: 実行したユーザーSID (LOCAL SERVICE)
- サブジェクト > アカウント名: 実行したアカウント名 (LOCAL SERVICE)
- サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (NT AUTHORITY)
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > 新しいプロセスID: プロセスID (16進数)
- プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\rundll32.exe)
- プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
- プロセス情報 > 必須ラベル: 権限昇格の要否
- プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
- プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
- ログの日時: プロセス実行日時 (ローカル時刻)
|
| 12 |
セキュリティ |
5447 |
その他のポリシー変更イベント |
Windows フィルターリング プラットフォームのフィルターが変更されました。複数回発生する。
- サブジェクト > セキュリティID: 実行したユーザーSID (LOCAL SERVICE)
- サブジェクト > アカウント名: 実行したアカウント名 (NT AUTHORITY\LOCAL SERVICE)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロバイダー情報 > ID: プロバイダーのID
- プロバイダー情報 > 名前: プロバイダーの名前
- 変更情報 > 変更の種類: 実施した処理内容 (追加)
- フィルター情報 > ID: フィルターUUID
- フィルター情報 > 名前: フィルター名 (サーバー検体の実行ファイル)
- フィルター情報 > 実行時ID: フィルター実行時ID
- 追加情報 > 条件: フィルタの条件
- 追加情報 > フィルター アクション: 一致時の動作 (許可)
|
| セキュリティ |
4946 |
MPSSVC ルールレベル ポリシーの変更 |
Windows ファイアウォールの例外の一覧が変更されました。規則が追加された。
- 変更されたプロファイル: 変更されたプロファイル (プライベート)
- 追加された規則 > 規則 ID: 実行したプロセスの規則ID (TCP Query User{[英数]-[英数]-[英数]-[英数]-[英数]}[検体のパス])
- 追加された規則 > 規則名: 実行したプロセス名 (サーバー検体の実行ファイル)
|
| セキュリティ |
5031 |
フィルタリング プラットフォームの接続 |
Windows ファイアウォールが、ネットワーク上の着信接続のアプリケーションによる受け入れをブロックしました。
- プロファイル: 使用されたプロファイル (プライベート)
- アプリケーション: 検体のパス (サーバー検体のパス)
|
| セキュリティ |
5447 |
その他のポリシー変更イベント |
Windows フィルターリング プラットフォームのフィルターが変更されました。
- サブジェクト > セキュリティID: 実行したユーザーSID (LOCAL SERVICE)
- サブジェクト > アカウント名: 実行したアカウント名(NT AUTHORITY\LOCAL SERVICE)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロバイダー情報 > ID: プロバイダーのID
- プロバイダー情報 > 名前: プロバイダーの名前
- 変更情報 > 変更の種類: 実施した処理内容 (追加)
- フィルター情報 > ID: フィルターUUID
- フィルター情報 > 名前: フィルター名 (サーバー検体の実行ファイル)
- フィルター情報 > 実行時ID: フィルター実行時ID
- 追加情報 > 条件: フィルタの条件
- 追加情報 > フィルター アクション: 一致時の動作 (禁止)
|
| 13 |
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
- TargetFilename: 作成されたファイル (C:\Windows\Prefetch\[サーバー検体の実行ファイル]-[文字列].pf)
- CreationUtcTime: ファイル作成日時 (UTC)
|
| セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
- サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$)
- サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[サーバー検体の実行ファイル]-[文字列].pf)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
|
| セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
- サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$)
- サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[サーバー検体の実行ファイル]-[文字列].pf)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
- 成功の監査: 成否 (アクセス成功)
|
| セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
- サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$)
- サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
|
| 14 |
セキュリティ |
5447 |
その他のポリシー変更イベント |
Windows フィルターリング プラットフォームのフィルターが変更されました。
- サブジェクト > セキュリティID: 実行したユーザーSID (LOCAL SERVICE)
- サブジェクト > アカウント名: 実行したアカウント名 (NT AUTHORITY\LOCAL SERVICE)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロバイダー情報 > ID: プロバイダーのID
- プロバイダー情報 > 名前: プロバイダーの名前
- 変更情報 > 変更の種類: 実施した処理内容 (追加)
- フィルター情報 > ID: フィルターUUID
- フィルター情報 > 名前: フィルター名 (サーバー検体の実行ファイル)
- フィルター情報 > 実行時ID: フィルター実行時ID
- 追加情報 > 条件: フィルタの条件
- 追加情報 > フィルター アクション: 一致時の動作 (許可)
|
| セキュリティ |
5447 |
その他のポリシー変更イベント |
Windows フィルターリング プラットフォームのフィルターが変更されました。
- サブジェクト > セキュリティID: 実行したユーザーSID (LOCAL SERVICE)
- サブジェクト > アカウント名: 実行したアカウント名(NT AUTHORITY\LOCAL SERVICE)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロバイダー情報 > ID: プロバイダーのID
- プロバイダー情報 > 名前: プロバイダーの名前
- 変更情報 > 変更の種類: 実施した処理内容 (削除)
- フィルター情報 > ID: フィルターUUID
- フィルター情報 > 名前: フィルター名 (サーバー検体の実行ファイル)
- フィルター情報 > 実行時ID: フィルター実行時ID
- 追加情報 > 条件: フィルタの条件
- 追加情報 > フィルター アクション: 一致時の動作 (許可)
|
| セキュリティ |
5447 |
その他のポリシー変更イベント |
Windows フィルターリング プラットフォームのフィルターが変更されました。 (Windows フィルターリング プラットフォームのフィルターが変更されました。)
- サブジェクト > セキュリティID: 実行したユーザーSID (LOCAL SERVICE)
- サブジェクト > アカウント名: 実行したアカウント名(NT AUTHORITY\LOCAL SERVICE)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロバイダー情報 > ID: プロバイダーのID
- プロバイダー情報 > 名前: プロバイダーの名前 (Microsoft Corporation)
- 変更情報 > 変更の種類: 実施した処理内容 (削除)
- フィルター情報 > ID: フィルターUUID
- フィルター情報 > 名前: フィルター名 (検体の実行ファイル)
- フィルター情報 > 実行時ID: フィルター実行時ID
- 追加情報 > 条件: フィルタの条件
- 追加情報 > フィルター アクション: 一致時の動作 (禁止)
|
| セキュリティ |
4947 |
MPSSVC ルールレベル ポリシーの変更 |
Windows ファイアウォールの例外の一覧が変更されました。規則が変更されました。
- 変更されたプロファイル: 変更されたプロファイル (プライベート)
- 追加された規則 > 規則 ID: 実行したプロセスの規則ID (UDP Query User{[英数]-[英数]-[英数]-[英数]-[英数]}[検体のパス])
- 追加された規則 > 規則名: 実行したプロセス名 (サーバー検体の実行ファイル)
|
| セキュリティ |
4947 |
MPSSVC ルールレベル ポリシーの変更 |
Windows ファイアウォールの例外の一覧が変更されました。規則が変更されました。
- 変更されたプロファイル: 変更されたプロファイル (プライベート)
- 追加された規則 > 規則 ID: 実行したプロセスの規則ID (TCP Query User{[英数]-[英数]-[英数]-[英数]-[英数]}[検体のパス])
- 追加された規則 > 規則名: 実行したプロセス名 (サーバー検体の実行ファイル)
|
| 15 |
Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated (rule: ProcessTerminate) |
Process terminated.
- UtcTime: プロセス終了日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\rundll32.exe)
|
| 16 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (サーバー検体のパス)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続先IPアドレス)
- SourceHostname: 送信元ホスト名 (接続先ホスト名)
- SourcePort: 送信元ポート番号 (ポート番号)
- DestinationIp: 宛先IPアドレス (接続元IPアドレス)
- DestinationHostname: 宛先ホスト名 (接続元ホスト名)
- DestinationPort: 宛先ポート番号 (ハイポート)
|
| セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (サーバー検体のパス)
- ネットワーク情報 > 方向: 通信方向 (着信)
- ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号 ([接続先IPアドレス]/[接続先ポート番号])
- ネットワーク情報 > 宛先アドレス/宛先ポート: 宛先IPアドレス/ポート番号 ([接続元IPアドレス]/[ハイポート])
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
| 17 |
Microsoft-Windows-Sysmon/Operational |
1 |
Process Create (rule: ProcessCreate) |
Process Create.
- UtcTime: プロセス実行日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\SysWOW64\cmd.exe)
- CommandLine: 実行コマンドのコマンドライン (cmd /c dir)
- CurrentDirectory: 作業ディレクトリ
- User: 実行ユーザー
- LogonGuid/LogonId: ログオンセッションのID
- IntegrityLevel: 特権レベル (Medium)
- Hashes: 実行ファイルのハッシュ値
- ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
- ParentImage: 親プロセスの実行ファイル (サーバー検体のパス)
- ParentCommandLine: 親プロセスのコマンドライン (サーバー検体のパス)
|
| セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > 新しいプロセスID: プロセスID (16進数)
- プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\SysWOW64\cmd.exe)
- プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
- プロセス情報 > 必須ラベル: 権限昇格の要否
- プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
- プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
- ログの日時: プロセス実行日時 (ローカル時刻)
|
| 18 |
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (サーバー検体のパス)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\SysWOW64\cmd.exe)
- GrantedAccess: 許可されたアクセスの内容
|
| 19 |
Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated (rule: ProcessTerminate) |
Process terminated.
- UtcTime: プロセス終了日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\SysWOW64\cmd.exe)
|
| セキュリティ |
4689 |
プロセス終了 |
プロセスが終了しました。
- ログの日時: プロセス終了日時 (ローカル時刻)
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\SysWOW64\cmd.exe)
- プロセス情報 > 終了状態: プロセスの戻り値
|
| 20 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (サーバー検体のパス)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続先IPアドレス)
- SourceHostname: 送信元ホスト名 (接続先ホスト名)
- SourcePort: 送信元ポート番号 (接続先ポート番号)
- DestinationIp: 宛先IPアドレス (接続元IPアドレス)
- DestinationHostname: 宛先ホスト名 (接続元ホスト名)
- DestinationPort: 宛先ポート番号 (ハイポート)
|