1 |
Microsoft-Windows-Sysmon/Operational |
1 |
Process Create (rule: ProcessCreate) |
Process Create.
- UtcTime: プロセス実行日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- CommandLine: 実行コマンドのコマンドライン ("C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe")
- CurrentDirectory: 作業ディレクトリ
- User: 実行ユーザー
- LogonGuid/LogonId: ログオンセッションのID
- IntegrityLevel: 特権レベル (Medium)
- Hashes: 実行ファイルのハッシュ値
- ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
- ParentImage: 親プロセスの実行ファイル (C:\Windows\explorer.exe)
- ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\Explorer.EXE)
|
セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > 新しいプロセスID: プロセスID (16進数)
- プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
- プロセス情報 > 必須ラベル: 権限昇格の要否
- プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
- プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
- ログの日時: プロセス実行日時 (ローカル時刻)
|
2 |
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- TargetFilename: 作成されたファイル (C:\Users\testuser\AppData\Roaming\Microsoft\Windows\Recent)
- CreationUtcTime: ファイル作成日時 (UTC)
|
Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set (rule: RegistryEvent) |
Registry value set.
- EventType: 処理の種類 (SetValue)
- Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
- ProcessGuid/ProcessId: プロセスID
- TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\{1NP14R77-02R7-4R5Q-O744-2RO1NR5198O7}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr)
- Details: レジストリに書き込まれた設定値 (Binary Data)
|
3 |
Microsoft-Windows-PowerShell/Operational |
40961 |
PowerShell コンソールの起動 |
PowerShell コンソールを起動しています |
Microsoft-Windows-PowerShell/Operational |
53504 |
PowerShell 名前付きパイプ IPC |
Windows PowerShell は、[ドメイン] のプロセス [プロセスID] で IPC リッスン スレッドを開始しました。 |
Microsoft-Windows-PowerShell/Operational |
40962 |
PowerShell コンソールの起動 |
PowerShell コンソールはユーザー入力を受け入れられるようになりました |
4 |
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
|
セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
|
5 |
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE, SYNCHRONIZE, ReadAttributesを含む)
|
セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (SYNCHRONIZE, WriteDataまたはAddFile)
|
セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (SYNCHRONIZE, WriteDataまたはAddFile)
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
|
6 |
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列].ps1)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData を含む)
|
セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列].ps1)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
|
7 |
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列].psm1)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
|
セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列].psm1)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
|
8 |
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列].ps1)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETEを含む)
|
セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列].ps1)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4660 |
ファイル システム |
オブジェクトが削除されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクト名: 対象のファイル名
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス: 要求された権限
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
|
9 |
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列].psm1)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETEを含む)
|
セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\testuser\AppData\Local\Temp\[文字列].psm1)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4660 |
ファイル システム |
オブジェクトが削除されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクト名: 対象のファイル名
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス: 要求された権限
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
|
10 |
セキュリティ |
4673 |
重要な特権の使用 |
特権のあるサービスが呼び出されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス > プロセス名: 特権を使用したプロセス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- プロセス > プロセスID: 特権を使用したプロセスのプロセスID
- サービス要求情報 > 特権: 使用された特権 (SeCreateGlobalPrivilege)
|
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (Key)
- オブジェクト > オブジェクト名: 対象のファイル名 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (READ_CONTROL, キー値の照会, サブキーの列挙, キー変更に関する通知)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
|
セキュリティ |
4673 |
重要な特権の使用 |
特権のあるサービスが呼び出されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス > プロセス名: 特権を使用したプロセス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- プロセス > プロセスID: 特権を使用したプロセスのプロセスID
- サービス要求情報 > 特権: 使用された特権 (SeCreateGlobalPrivilege)
|
11 |
Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted (rule: RegistryEvent) |
Registry object added or deleted.
- EventType: 処理の種類 (CreateKey)
- Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
- ProcessGuid/ProcessId: プロセスID
- TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\JumplistData)
|
Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set (rule: RegistryEvent) |
Registry value set.
- EventType: 処理の種類 (SetValue)
- Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
- ProcessGuid/ProcessId: プロセスID
- TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Microsoft\Windows\CurrentVersion\Search\JumplistData\{1AC14E77-02E7-4E5D-B744-2EB1AE5198B7}\WindowsPowerShell\v1.0\powershell.exe)
- Details: レジストリに書き込まれた設定値 (QWORD値)
|
Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted (rule: RegistryEvent) |
Registry object added or deleted.
- EventType: 処理の種類 (CreateKey)
- Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
- ProcessGuid/ProcessId: プロセスID
- TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps)
|
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- TargetFilename: 作成されたファイル (C:\Users\testuser\AppData\Local\Temp\[文字列].ps1)
- CreationUtcTime: ファイル作成日時 (UTC)
|
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- TargetFilename: 作成されたファイル (C:\Users\testuser\AppData\Local\Temp\[文字列].psm1)
- CreationUtcTime: ファイル作成日時 (UTC)
|
12 |
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
|
セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
|
13 |
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\ModuleAnalysisCache)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
|
セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\ModuleAnalysisCache)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0)
|
14 |
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
|
セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
|
15 |
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
|
セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0)
|
16 |
Microsoft-Windows-PowerShell/Operational |
4104 |
リモート コマンドを実行します |
Scriptblock テキストを作成しています
- メッセージ: 実行されたスクリプトの内容。実行されたPowerShellスクリプトの内容が、そのまま記録される
|
17 |
Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted (rule: RegistryEvent) |
Registry object added or deleted.
- EventType: 処理の種類 (CreateKey)
- Image: 実行ファイルのパス (C:\Windows\system32\lsass.exe)
- ProcessGuid/ProcessId: プロセスID
- TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters)
|
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\lsass.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1000)
|
18 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (389)
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート(ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
19 |
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\lsass.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1000)
|
Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted (rule: RegistryEvent) |
Registry object added or deleted.
- EventType: 処理の種類 (CreateKey)
- Image: 実行ファイルのパス (C:\Windows\system32\lsass.exe)
- ProcessGuid/ProcessId: プロセスID
- TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters)
|
20 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (9389)
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート(ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (9389)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
21 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (88)
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート(ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
22 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (9389)
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート(ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (9389)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
23 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (9389)
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (9389)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
24 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (System)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (445)
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (System)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (System)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (445)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
25 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (88)
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
26 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (389)
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
27 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (389)
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
28 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (88)
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
29 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (389)
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
30 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (389)
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
31 |
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\lsass.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1000, 0x1478)
|
Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted (rule: RegistryEvent) |
Registry object added or deleted.
- EventType: 処理の種類 (CreateKey)
- Image: 実行ファイルのパス (C:\Windows\system32\lsass.exe)
- ProcessGuid/ProcessId: プロセスID
- TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters)
|
32 |
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- TargetFilename: 作成されたファイル (C:\Users\testuser\AppData\Local\Microsoft\Windows\SchCache)
- CreationUtcTime: ファイル作成日時 (UTC)
|
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\SchCache\[ドメインコントローラー名].[ドメイン名].sch)
- CreationUtcTime: ファイル作成日時 (UTC)
|
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\SchCache\[ドメインコントローラー名].[ドメイン名].sch)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
|
セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\SchCache\[ドメインコントローラー名].[ドメイン名].sch)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
- 成功の監査: 成否 (アクセス成功)
|
33 |
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- TargetFilename: 作成されたファイル (C:\temp\Logs\GPPDataReport-[ドメイン名]-[日時].csv)
- CreationUtcTime: ファイル作成日時 (UTC)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
|
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\temp\Logs\GPPDataReport-[ドメイン名]-[日時].csv)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
|
セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\temp\Logs\GPPDataReport-[ドメイン名]-[日時].csv)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
|
34 |
Microsoft-Windows-Sysmon/Operational |
8 |
CreateRemoteThread detected (rule: CreateRemoteThread) |
CreateRemoteThread detected.
- UtcTime: 実行日時 (UTC)
- SourceProcessGuid/SourceProcessId: 作成元プロセスのプロセスID
- SourceImage: 作成元プロセスのパス (C:\Windows\System32\csrss.exe)
- TargetProcessGuid/TargetProcessId: 作成先プロセスのプロセスID
- TargetImage: 作成先プロセスのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- NewThreadId: 新規スレッドのスレッドID (23500)
|
35 |
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\[文字列].log)
- CreationUtcTime: ファイル作成日時 (UTC)
|
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created. (File created)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-Interactive)
- CreationUtcTime: ファイル作成日時 (UTC)
|
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-Interactive)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
|
セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-Interactive)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
- 成功の監査: 成否 (アクセス成功)
|
セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
|
36 |
Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated (rule: ProcessTerminate) |
Process terminated.
- UtcTime: プロセス終了日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
|
セキュリティ |
4689 |
プロセス終了 |
プロセスが終了しました。
- ログの日時: プロセス終了日時 (ローカル時刻)
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
- プロセス情報 > 終了状態: プロセスの戻り値 (0xc000013a)
|