Find-GPOPasswords.ps1

- 目次

全てのセクションを開く | 全てのセクションを閉じる


- ツール概要

カテゴリ
パスワード、ハッシュの入手
説明
グループポリシーのファイルに記載されているパスワードを取得する。
攻撃時における想定利用例
取得したパスワードを用いて、他ホストへの侵入を試みる。

- ツール動作概要

項目 接続元 ドメインコントローラー
ドメインへの所属
通信プロトコル 88/tcp, 389/tcp, 445/tcp, 9389/tcp
OS Windows Windows Server
サービス Workstation Active Directory Domain Services
権限 管理者ユーザー

- ログから得られる情報

標準設定
  • 接続元
    • 実行履歴 (Prefetch)
    • 実行されたスクリプトの内容 (Windows 10のみ。Microsoft-Windows-PowerShell/Operational及びC:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txtに記録される)
追加設定
  • 接続元
    • 実行履歴 (監査ポリシー, Sysmon)
    • パスワードをダンプしたファイル(GPPDataReport-[ドメイン名]-[日時].csv)の出力 (監査ポリシー, Sysmon, USNジャーナル)
    • 実行されたスクリプトの内容 (Windows Management Framework 5.0をインストールした場合。Microsoft-Windows-PowerShell/Operational及びC:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txtに記録される)
  • ドメインコントローラー
    • "\\*\SYSVOL" 配下に対するアクセス履歴 (監査ポリシー)

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • CommandLine: 実行コマンドのコマンドライン ("C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe")
  • User: 実行ユーザー
2 Microsoft-Windows-PowerShell/Operational 4104 リモート コマンドを実行します Scriptblock テキストを作成しています
  • メッセージ: 実行されたスクリプトの内容。実行されたPowerShellスクリプトの内容が、そのまま記録される
3 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (ドメインコントローラーのポート88, 389, 445, 9389。同様の通信が多数発生する)
4 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\SchCache\[ドメインコントローラー名].[ドメイン名].sch)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
5 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\temp\Logs\GPPDataReport-[ドメイン名]-[日時].csv)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)

MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt FILE ALLOCATED
2 [ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\SchCache\[ドメインコントローラー名].[ドメイン名].sch FILE ALLOCATED
3 [ドライブ名]:\temp\Logs\GPPDataReport-[ドメイン名]-[日時].csv FILE ALLOCATED

Prefetch

レジストリエントリ

# パス
1 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=[DN]\File %LOCALAPPDATA%\Microsoft\Windows\SchCache\[ドメインコントローラー名].[ドメイン名].sch

UserAssist

# Registry Data
1 \REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\{1NP14R77-02R7-4R5Q-O744-2RO1NR5198O7}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr 初回実行日時、累計実行回数

USNジャーナル

# ファイル名 処理
1 ConsoleHost_history.txt CLOSE+DATA_EXTEND+FILE_CREATE
2 [ドメインコントローラー名].[ドメイン名].sch CLOSE+DATA_EXTEND+FILE_CREATE
3 GPPDataReport-[ドメイン名]-[日時].csv CLOSE+DATA_EXTEND+FILE_CREATE

- ドメインコントローラー

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (ドメインコントローラーのポート 88, 389, 445, 9389。同様の通信が多数発生する)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号
2 セキュリティ 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 共有名 (\\*\SYSVOL)
  • 共有情報 > 共有パス: 共有のパス (\??\C:\Windows\SYSVOL\sysvol)
  • 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 ([ドメイン名]\Policies 及びその配下にあるファイル)
  • アクセス要求情報 > アクセス: 要求された権限 (SYNCHRONIZE, ReadDataまたはListDirectory, ReadAttributes)

- 詳細:接続元

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • CommandLine: 実行コマンドのコマンドライン ("C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe")
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (Medium)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (C:\Windows\explorer.exe)
  • ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\Explorer.EXE)
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
2 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\testuser\AppData\Roaming\Microsoft\Windows\Recent)
  • CreationUtcTime: ファイル作成日時 (UTC)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\{1NP14R77-02R7-4R5Q-O744-2RO1NR5198O7}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr)
  • Details: レジストリに書き込まれた設定値 (Binary Data)
3 Microsoft-Windows-PowerShell/Operational 40961 PowerShell コンソールの起動 PowerShell コンソールを起動しています
Microsoft-Windows-PowerShell/Operational 53504 PowerShell 名前付きパイプ IPC Windows PowerShell は、[ドメイン] のプロセス [プロセスID] で IPC リッスン スレッドを開始しました。
Microsoft-Windows-PowerShell/Operational 40962 PowerShell コンソールの起動 PowerShell コンソールはユーザー入力を受け入れられるようになりました
4 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
5 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE, SYNCHRONIZE, ReadAttributesを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (SYNCHRONIZE, WriteDataまたはAddFile)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (SYNCHRONIZE, WriteDataまたはAddFile)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
6 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData を含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
7 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
8 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETEを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列].ps1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4660 ファイル システム オブジェクトが削除されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
9 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Temp\[文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETEを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\testuser\AppData\Local\Temp\[文字列].psm1)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4660 ファイル システム オブジェクトが削除されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
10 セキュリティ 4673 重要な特権の使用 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス > プロセス名: 特権を使用したプロセス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • プロセス > プロセスID: 特権を使用したプロセスのプロセスID
  • サービス要求情報 > 特権: 使用された特権 (SeCreateGlobalPrivilege)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (Key)
  • オブジェクト > オブジェクト名: 対象のファイル名 (\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (READ_CONTROL, キー値の照会, サブキーの列挙, キー変更に関する通知)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
セキュリティ 4673 重要な特権の使用 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス > プロセス名: 特権を使用したプロセス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • プロセス > プロセスID: 特権を使用したプロセスのプロセスID
  • サービス要求情報 > 特権: 使用された特権 (SeCreateGlobalPrivilege)
11 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\JumplistData)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Microsoft\Windows\CurrentVersion\Search\JumplistData\{1AC14E77-02E7-4E5D-B744-2EB1AE5198B7}\WindowsPowerShell\v1.0\powershell.exe)
  • Details: レジストリに書き込まれた設定値 (QWORD値)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps)
Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\testuser\AppData\Local\Temp\[文字列].ps1)
  • CreationUtcTime: ファイル作成日時 (UTC)
Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\testuser\AppData\Local\Temp\[文字列].psm1)
  • CreationUtcTime: ファイル作成日時 (UTC)
12 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
13 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\ModuleAnalysisCache)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\ModuleAnalysisCache)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0)
14 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
15 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0)
16 Microsoft-Windows-PowerShell/Operational 4104 リモート コマンドを実行します Scriptblock テキストを作成しています
  • メッセージ: 実行されたスクリプトの内容。実行されたPowerShellスクリプトの内容が、そのまま記録される
17 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\lsass.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters)
Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (C:\Windows\system32\lsass.exe)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • GrantedAccess: 許可されたアクセスの内容 (0x1000)
18 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (389)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート(ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
19 Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (C:\Windows\system32\lsass.exe)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • GrantedAccess: 許可されたアクセスの内容 (0x1000)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\lsass.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters)
20 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (9389)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート(ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (9389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
21 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート(ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
22 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (9389)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート(ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (9389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
23 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (9389)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (9389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
24 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (445)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (445)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
25 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
26 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (389)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
27 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (389)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
28 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
29 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (389)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
30 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (389)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
31 Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (C:\Windows\system32\lsass.exe)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • GrantedAccess: 許可されたアクセスの内容 (0x1000, 0x1478)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\lsass.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters)
32 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\testuser\AppData\Local\Microsoft\Windows\SchCache)
  • CreationUtcTime: ファイル作成日時 (UTC)
Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\SchCache\[ドメインコントローラー名].[ドメイン名].sch)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\SchCache\[ドメインコントローラー名].[ドメイン名].sch)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\SchCache\[ドメインコントローラー名].[ドメイン名].sch)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
33 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\temp\Logs\GPPDataReport-[ドメイン名]-[日時].csv)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\temp\Logs\GPPDataReport-[ドメイン名]-[日時].csv)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\temp\Logs\GPPDataReport-[ドメイン名]-[日時].csv)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
34 Microsoft-Windows-Sysmon/Operational 8 CreateRemoteThread detected (rule: CreateRemoteThread) CreateRemoteThread detected.
  • UtcTime: 実行日時 (UTC)
  • SourceProcessGuid/SourceProcessId: 作成元プロセスのプロセスID
  • SourceImage: 作成元プロセスのパス (C:\Windows\System32\csrss.exe)
  • TargetProcessGuid/TargetProcessId: 作成先プロセスのプロセスID
  • TargetImage: 作成先プロセスのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • NewThreadId: 新規スレッドのスレッドID (23500)
35 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Microsoft\CLR_v4.0\UsageLogs\[文字列].log)
  • CreationUtcTime: ファイル作成日時 (UTC)
Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created. (File created)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-Interactive)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-Interactive)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-Interactive)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
36 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0xc000013a)

- MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf FILE ALLOCATED
2 [ドライブ名]:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline FOLDER ALLOCATED
[ドライブ名]:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt FILE ALLOCATED
3 [ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\SchCache FOLDER ALLOCATED
[ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\SchCache\[ドメインコントローラー名].[ドメイン名].sch FILE ALLOCATED
4 [ドライブ名]:\temp\Logs\GPPDataReport-[ドメイン名]-[日時].csv FILE ALLOCATED

- Prefetch

# Prefetchファイル プロセス名 プロセスパス ログから得られる情報
1 C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf POWERSHELL.EXE C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE Last Run Time (最終実行日時)

- レジストリエントリ

# パス 種類
1 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=[DN]\File String %LOCALAPPDATA%\Microsoft\Windows\SchCache\[ドメインコントローラー名].[ドメイン名].sch
HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=[DN]\Time String [有効期限日時]
2 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\JumplistData\{1AC14E77-02E7-4E5D-B744-2EB1AE5198B7}\WindowsPowerShell\v1.0\powershell.exe String [文字列]
HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\JumplistData\{1AC14E77-02E7-4E5D-B744-2EB1AE5198B7}\WindowsPowerShell\v1.0\powershell.exe String [文字列]

- UserAssist

# レジストリエントリ ログから得られる情報
1 \REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\{1NP14R77-02R7-4R5Q-O744-2RO1NR5198O7}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr 初回実行日時、累計実行回数

- USNジャーナル

# ファイル名 処理 属性
1 POWERSHELL.EXE-[文字列].pf DATA_TRUNCATION archive+not_indexed
POWERSHELL.EXE-[文字列].pf DATA_EXTEND+DATA_TRUNCATION archive+not_indexed
POWERSHELL.EXE-[文字列].pf CLOSE+DATA_EXTEND+DATA_TRUNCATION archive+not_indexed
2 PSReadline FILE_CREATE directory
PSReadline CLOSE+FILE_CREATE directory
3 ConsoleHost_history.txt FILE_CREATE archive
ConsoleHost_history.txt DATA_EXTEND+FILE_CREATE archive
ConsoleHost_history.txt CLOSE+DATA_EXTEND+FILE_CREATE archive
4 SchCache FILE_CREATE directory
SchCache CLOSE+FILE_CREATE directory
5 [ドメインコントローラー名].[ドメイン名].sch FILE_CREATE archive
[ドメインコントローラー名].[ドメイン名].sch DATA_EXTEND+FILE_CREATE archive
[ドメインコントローラー名].[ドメイン名].sch CLOSE+DATA_EXTEND+FILE_CREATE archive
6 GPPDataReport-[ドメイン名]-[日時].csv FILE_CREATE archive
GPPDataReport-[ドメイン名]-[日時].csv DATA_EXTEND+FILE_CREATE archive
GPPDataReport-[ドメイン名]-[日時].csv CLOSE+DATA_EXTEND+FILE_CREATE archive

- 詳細:ドメインコントローラー

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
2 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (389)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
3 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (88)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (88)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (9389)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\adws\microsoft.activedirectory.webservices.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (9389)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
5 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (9389)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\adws\microsoft.activedirectory.webservices.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (9389)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
6 セキュリティ 4769 Kerberos サービス チケットの操作 Kerberos サービス チケットが要求されました。
  • アカウント情報 > アカウント名: チケットを要求されたアカウント名
  • アカウント情報 > アカウント ドメイン: アカウントのドメイン
  • アカウント情報 > ログオンGUID: ログオンのセッションID
  • サービス情報 > サービス名: チケットのサービス名 (krbtgt)
  • サービス情報 > サービスID: サービスのSID
  • ネットワーク情報 > クライアント アドレス: チケットの要求元IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > クライアント ポート: チケット要求の送信元ポート番号 (ハイポート)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x60810010)
  • 追加情報 > エラー コード: チケットの処理結果 (0x0)
セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
7 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (9389)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\adws\microsoft.activedirectory.webservices.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (9389)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
8 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (445)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\adws\microsoft.activedirectory.webservices.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (445)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
9 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (445)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\adws\microsoft.activedirectory.webservices.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (445)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
10 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (88)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\adws\microsoft.activedirectory.webservices.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (88)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
11 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
12 セキュリティ 4769 Kerberos サービス チケットの操作 Kerberos サービス チケットが要求されました。
  • アカウント情報 > アカウント名: チケットを要求されたアカウント名
  • アカウント情報 > アカウント ドメイン: アカウントのドメイン
  • アカウント情報 > ログオンGUID: ログオンのセッションID
  • サービス情報 > サービス名: チケットのサービス名 ([ホスト名]$)
  • サービス情報 > サービスID: サービスのSID
  • ネットワーク情報 > クライアント アドレス: チケットの要求元IPアドレス (接続元ホスト)
  • ネットワーク情報 > クライアント ポート: チケット要求の送信元ポート番号 (ハイポート)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x60810010)
  • 追加情報 > エラー コード: チケットの処理結果 (0x0)
セキュリティ 5140 ファイルの共有 ネットワーク共有オブジェクトにアクセスしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > オブジェクトの種類: 対象の区分 (File)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 使用された共有名 (\\*\SYSVOL)
  • 共有情報 > 共有パス: 共有のパス (\??\C:\Windows\SYSVOL\sysvol)
  • アクセス要求情報 > アクセス: 要求された権限 (ReadDataまたはListDirectory)
セキュリティ 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 共有名 (\\*\SYSVOL)
  • 共有情報 > 共有パス: 共有のパス (\??\C:\Windows\SYSVOL\sysvol)
  • 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 ([ドメイン名]\Policies)
  • アクセス要求情報 > アクセス: 要求された権限 (SYNCHRONIZE, ReadDataまたはListDirectory, ReadAttributes)
13 セキュリティ 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 共有名 (\\*\SYSVOL)
  • 共有情報 > 共有パス: 共有のパス (\??\C:\Windows\SYSVOL\sysvol)
  • 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 ([ドメイン名]\Policies)
  • アクセス要求情報 > アクセス: 要求された権限 (SYNCHRONIZE, ReadDataまたはListDirectory, ReadAttributes)
セキュリティ 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 共有名 (\\*\IPC$)
  • 共有情報 > 共有パス: 共有のパス
  • 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (lsarpc)
  • アクセス要求情報 > アクセス: 要求された権限 (READ_CONTROL, SYNCHRONIZE, ReadDataまたはListDirectory, WriteDataまたはAddFile, AppendDataまたはAddSubdirectoryまたはCreatePipeInstance, ReadEA, WriteEA, ReadAttributes, WriteAttributes)
セキュリティ 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 共有名 (\\*\SYSVOL)
  • 共有情報 > 共有パス: 共有のパス (\??\C:\Windows\SYSVOL\sysvol)
  • 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 ([ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml)
  • アクセス要求情報 > アクセス: 要求された権限 (ReadAttributes)
セキュリティ 4769 Kerberos サービス チケットの操作 Kerberos サービス チケットが要求されました。
  • アカウント情報 > アカウント名: チケットを要求されたアカウント名
  • アカウント情報 > アカウント ドメイン: アカウントのドメイン
  • アカウント情報 > ログオンGUID: ログオンのセッションID
  • サービス情報 > サービス名: チケットのサービス名 ([ホスト名]$)
  • サービス情報 > サービスID: サービスのSID
  • ネットワーク情報 > クライアント アドレス: チケットの要求元IPアドレス (接続元ホスト)
  • ネットワーク情報 > クライアント ポート: チケット要求の送信元ポート番号 (ハイポート)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x40810000)
  • 追加情報 > エラー コード: チケットの処理結果 (0x0)
セキュリティ 5140 ファイルの共有 ネットワーク共有オブジェクトにアクセスしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > オブジェクトの種類: 対象の区分 (File)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 使用された共有名 (\\*\IPC$)
  • 共有情報 > 共有パス: 共有のパス
  • アクセス要求情報 > アクセス: 要求された権限 (ReadDataまたはListDirectory)
14 セキュリティ 4634 ログオフ アカウントがログオフしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオン タイプ: ログオンの経路・方式など (3=ネットワーク)
セキュリティ 4634 ログオフ アカウントがログオフしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオン タイプ: ログオンの経路・方式など (3=ネットワーク)
15 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
16 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (389)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
17 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (88)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (88)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
18 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (389)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
19 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (389)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
20 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters)
21 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (389)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
22 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (9389)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\adws\microsoft.activedirectory.webservices.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (9389)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
23 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (9389)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\adws\microsoft.activedirectory.webservices.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (9389)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)

- パケットキャプチャ

# 処理 送信元ホスト 送信元ポート番号 宛先ホスト 宛先ポート番号 プロトコル/アプリケーション
1 Session Setup Request [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Session Setup Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
2 Tree Connect Request Tree: \\[ドメインコントローラーのNetBIOS名]\sysvol [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Tree Connect Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
3 Ioctl Request FSCTL_VALIDATE_NEGOTIATE_INFO [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Ioctl Response FSCTL_VALIDATE_NEGOTIATE_INFO [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
4 Create Request File: [ドメイン名]\Policies [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
5 GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO File: [ドメイン名]\Policies [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
6 Close Request File: [ドメイン名]\Policies [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Close Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
7 Create Request File: [ドメイン名]\Policies;GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies;GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
8 Find Request File: [ドメイン名]\Policies SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Request File: [ドメイン名]\Policies SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Find Response SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Response, Error: STATUS_NO_MORE_FILES SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
9 Create Request File: [ドメイン名]\Policies\{[GUID]} [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]} [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
10 GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO File: [ドメイン名]\Policies\{[GUID]} [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
11 Find Request File: [ドメイン名]\Policies\{[GUID]} SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Request File: [ドメイン名]\Policies\{[GUID]} SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Find Response SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Response, Error: STATUS_NO_MORE_FILES SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
12 Create Request File: [ドメイン名]\Policies\{[GUID]};GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]};GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
13 Close Request File: [ドメイン名]\Policies\{[GUID]} [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Close Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
14 Create Request File: [ドメイン名]\Policies\{[GUID]}\Machine [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\Machine [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
15 GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO File: [ドメイン名]\Policies\{[GUID]}\Machine [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
16 Find Request File: [ドメイン名]\Policies\{[GUID]}\Machine SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Request File: [ドメイン名]\Policies\{[GUID]}\Machine SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Find Response SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Response, Error: STATUS_NO_MORE_FILES SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
17 Create Request File: [ドメイン名]\Policies\{[GUID]}\Machine;GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\Machine;GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
18 Close Request File: [ドメイン名]\Policies\{[GUID]}\Machine [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Close Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
19 Create Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
20 GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
21 Find Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Find Response SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Response, Error: STATUS_NO_MORE_FILES SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
22 Create Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft;GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft;GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
23 Close Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Close Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
24 Create Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
25 GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
26 Find Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Find Response SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Response, Error: STATUS_NO_MORE_FILES SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
27 Create Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT;GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT;GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
28 Close Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Close Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
29 Create Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT\SecEdit [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT\SecEdit [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
30 GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT\SecEdit [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
31 Find Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT\SecEdit SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT\SecEdit SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Find Response SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Response, Error: STATUS_NO_MORE_FILES SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
32 Create Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT\SecEdit;GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT\SecEdit;GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
33 Close Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Microsoft\Windows NT\SecEdit [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Close Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
34 Create Request File: [ドメイン名]\Policies\{[GUID]}\USER [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\USER [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
35 GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO File: [ドメイン名]\Policies\{[GUID]}\USER [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
36 Find Request File: [ドメイン名]\Policies\{[GUID]}\USER SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Request File: [ドメイン名]\Policies\{[GUID]}\USER SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Find Response SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Response, Error: STATUS_NO_MORE_FILES SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
37 Create Request File: [ドメイン名]\Policies\{[GUID]}\USER;GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\USER;GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
38 Close Request File: [ドメイン名]\Policies\{[GUID]}\USER [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Close Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
39 Create Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
40 GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
41 Find Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Find Response SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Response, Error: STATUS_NO_MORE_FILES SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
42 Create Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences;GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences;GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
43 Close Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Close Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
44 Create Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
45 GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
46 Find Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [接続名] [ハイポート] [ドメインコントローラー] 445 SMB2
Find Response SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: *;Find Response, Error: STATUS_NO_MORE_FILES SMB2_FIND_ID_BOTH_DIRECTORY_INFO Pattern: * [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
47 Create Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups;GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups;GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
48 Close Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Close Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
49 Create Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml;GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml;GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
50 GetInfo Request FILE_INFO/SMB2_FILE_NETWORK_OPEN_INFO File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
51 Close Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Close Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
52 Create Request File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
53 Read Request Len:[長さ] Off:0 File: [ドメイン名]\Policies\{[GUID]}\Machine\Preferences\Groups\Groups.xml [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Read Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
54 Tree Connect Request Tree: \\[ドメインコントローラーのNetBIOS名]\IPC$ [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Tree Connect Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
55 Create Request File: lsarpc [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Create Response File: lsarpc [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
56 GetInfo Request FILE_INFO/SMB2_FILE_STANDARD_INFO File: lsarpc [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
GetInfo Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
57 Read Request Len:1024 Off:0 File: lsarpc [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Bind_ack: call_id: 2, Fragment: Single, max_xmit: 4280 max_recv: 4280, 3 results: Provider rejection, Acceptance, Negotiate ACK [ドメインコントローラー] 445 [接続元] [ハイポート] DCERPC
58 Close Request File: lsarpc [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Close Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2
59 Tree Disconnect Request [接続元] [ハイポート] [ドメインコントローラー] 445 SMB2
Tree Disconnect Response [ドメインコントローラー] 445 [接続元] [ハイポート] SMB2