| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
- プロセス情報 > トークン昇格の種類: TokenElevationTypeFull (2)
- プロセス情報 > 作成元プロセス ID: [実行プロセスID]
- プロセス情報 > プロセスのコマンド ライン: [実行ファイル名] "lsadump::dcshadow /object:krbtgt /attribute:ntPwdHistory /value=00000000000000000000000000000000" exit
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
- CommandLine: [実行ファイル名] "lsadump::dcshadow /object:krbtgt /attribute:ntPwdHistory /value=00000000000000000000000000000000" exit
- CurrentDirectory: [作業ディレクトリ]
- User: [ドメイン名]\[ユーザー名]
- LogonId: [ログオンID]
- IntegrityLevel: High
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [実行プロセスID]
- ParentUser: [ドメイン名]\[ユーザー名]
|
| Security |
4673 |
Sensitive Privilege Use |
特権のあるサービスが呼び出されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- サービス > サーバー: Security
- サービス > サービス名: [サービス名]
- サービス要求情報 > 特権: SeTcbPrivilege
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- TargetObject: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
- User: [ドメイン名]\[ユーザー名]
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: System
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 17 (UDP)
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: System
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 389
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Windows Firewall With Advanced Security/Firewall |
2099 |
なし |
Windows Defender ファイアウォール例外リストでルールが変更されました。
- 規則 ID: TCP Query User{[GUID]}[実行ファイルのパス]
- 規則名: [実行ファイル名]
- 方向: 着信
- プロファイル: パブリック
- アクション: 許可
- プロトコル: TCP
- 変更ユーザー: [ユーザーSID]
- アプリケーション パス: C:\Windows\System32\dllhost.exe
|
| Security |
5447 |
Other Policy Change Events |
Windows フィルターリング プラットフォームのフィルターが変更されました。
- プロセス情報 > プロセス ID: [プロセスID]
- UserSid: S-1-5-19
- UserName: NT AUTHORITY\LOCAL SERVICE
- 変更情報 > 変更の種類: 追加・削除
- フィルター情報 > 名前: [実行ファイル名]
- フィルター情報 > 種類: 非固定
- 追加情報 > 条件値: 当実行ファイルに関する複数の条件。条件ごとにログが出力される
- 追加情報 > フィルター アクション: 許可
異なるプロバイダー情報・レイヤー情報で複数回出力される |
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: System
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 88
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
17 |
Pipe Created |
Pipe Created
- EventType: CreatePipe
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- PipeName: \Winsock2\CatalogChangeListener-[プロセスID]-0
- Image: [実行ファイルのパス]
- User: [ドメイン名]\[ユーザー名]
|
| Security |
5447 |
Other Policy Change Events |
Windows フィルターリング プラットフォームのフィルターが変更されました。
- サブジェクト > セキュリティ ID: LOCAL SERVICE
- サブジェクト > アカウント名: NT AUTHORITY
- サブジェクト > アカウント ドメイン: LOCAL SERVICE
- 変更情報 > 変更の種類: 追加
- プロセス情報 > プロセス ID: [実行プロセスID]
- フィルター情報 > 名前: [実行ファイル名]
- フィルター情報 > 種類: 非固定
- 追加情報 > フィルター アクション: 許可
複数回、異なる条件に対して発生する。 |
| Security |
4946 |
MPSSVC Rule-Level Policy Change |
Windows ファイアウォールの例外の一覧が変更されました。規則が追加されました。
- 追加された規則 > 規則 ID: TCP Query User{[GUID]}[実行ファイルのパス]
- 追加された規則 > 規則名: [実行ファイル名]
|
| Microsoft-Windows-Windows Firewall With Advanced Security/Firewall |
2097 |
なし |
Windows Defender ファイアウォール例外リストに規則が追加されました。
- 規則 ID: TCP Query User{[GUID]}[実行ファイルのパス]
- 規則名: [実行ファイル名]
- 方向: 着信
- プロファイル: パブリック
- アクション: 禁止
- プロトコル: TCP
- 変更ユーザー: NT SERVICE\mpssvc
- アプリケーション パス: C:\WINDOWS\System32\svchost.exe
|
| Security |
4947 |
MPSSVC Rule-Level Policy Change |
Windows ファイアウォールの例外の一覧が変更されました。規則が変更されました。
- 追加された規則 > 規則 ID: TCP Query User{[GUID]}[実行ファイルのパス]
- 追加された規則 > 規則名: [実行ファイル名]
|
| Security |
5031 |
Filtering Platform Connection |
Windows ファイアウォールが、ネットワーク上の着信接続のアプリケーションによる受け入れをブロックしました。
- ProcessId: [実行プロセスID]
- アプリケーション: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- User: [ドメイン名]\[ユーザー名]
- Protocol: tcp
- Initiated: True
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [送信元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 389
|
| Microsoft-Windows-Sysmon/Operational |
22 |
Dns query |
Dns query
- QueryName: [接続元ホスト名]
- Image: [実行ファイルのパス]
- User: [ドメイン名]\[ユーザー名]
|
| Security |
4947 |
MPSSVC Rule-Level Policy Change |
Windows ファイアウォールの例外の一覧が変更されました。規則が変更されました。
- 追加された規則 > 規則 ID: TCP Query User{[GUID]}[実行ファイルのパス]
- 追加された規則 > 規則名: [実行ファイル名]
|
| Microsoft-Windows-Windows Firewall With Advanced Security/Firewall |
2099 |
なし |
Windows Defender ファイアウォール例外リストでルールが変更されました。
- 規則 ID: TCP Query User{[GUID]}[実行ファイルのパス]
- 規則名: [実行ファイル名]
- 方向: 着信
- プロファイル: パブリック
- アクション: 許可
- プロトコル: TCP
- 変更ユーザー: [ユーザーSID]
- アプリケーション パス: C:\Windows\System32\dllhost.exe
|
| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
- プロセス情報 > トークン昇格の種類: TokenElevationTypeFull (2)
- プロセス情報 > 作成元プロセス ID: [実行プロセスID]
- プロセス情報 > プロセスのコマンド ライン: [実行ファイル名] "lsadump::dcshadow /push" exit
- プロセス情報 > 作成元プロセス名: C:\Windows\System32\cmd.exe
- プロセス情報 > 必須ラベル: Mandatory Label\High Mandatory Level
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
- CommandLine: [実行ファイル名] "lsadump::dcshadow /push" exit
- CurrentDirectory: [作業ディレクトリ]
- User: [ドメイン名]\[ユーザー名]
- LogonId: [ログオンID]
- IntegrityLevel: High
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスID]
- ParentImage: C:\Windows\System32\cmd.exe
- ParentCommandLine: C:\WINDOWS\system32\cmd.exe
- ParentUser: [ドメイン名]\[ユーザー名]
|
| Security |
4673 |
Sensitive Privilege Use |
特権のあるサービスが呼び出されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- サービス > サーバー: Security
- サービス > サービス名: [サービス名]
- サービス要求情報 > 特権: SeTcbPrivilege
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: System
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 135
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- User: [ドメイン名]\[ユーザー名]
- Protocol: tcp
- Initiated: True
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [送信元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 135
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: System
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: [接続先ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- User: [ドメイン名]\[ユーザー名]
- Protocol: tcp
- Initiated: True
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [送信元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: [接続先ポート番号]
|
| Security |
4689 |
Process Termination |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 終了状態: 0x0
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\WINDOWS\system32\svchost.exe
- TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
- CreationUtcTime: [ファイル作成日時(UTC)]
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Microsoft-Windows-Sysmon/Operational |
22 |
Dns query |
Dns query
- QueryName: [接続元ホスト名]
- Image: [実行ファイルのパス]
- User: [ドメイン名]\[ユーザー名]
|