| 1 |
Microsoft-Windows-Sysmon/Operational |
1 |
Process Create (rule: ProcessCreate) |
Process Create.
- UtcTime: プロセス実行日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (検体の実行ファイル)
- CommandLine: 実行コマンドのコマンドライン ([検体の実行ファイル] [権限を昇格して実行する実行ファイル])
- User: 実行ユーザー (検体を実行した非特権ユーザー)
- LogonGuid/LogonId: ログオンセッションのID
- IntegrityLevel: 特権レベル (Medium)
- Hashes: 実行ファイルのハッシュ値
- ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
- ParentImage: 親プロセスの実行ファイル
- ParentCommandLine: 親プロセスのコマンドライン
|
| セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン (検体を実行した非特権ユーザー)
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
- プロセス情報 > 新しいプロセスID: プロセスID (16進数)
- プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体の実行ファイル)
- プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
- ログの日時: プロセス実行日時 (ローカル時刻)
|
| 2 |
Microsoft-Windows-Sysmon/Operational |
1 |
Process Create (rule: ProcessCreate) |
Process Create.
- UtcTime: プロセス実行日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (直前のSysmon イベントID: 1のコマンドラインで指定された、「権限を昇格して実行する実行ファイル」の実行ファイル部)
- CommandLine: 実行コマンドのコマンドライン (直前のSysmon イベントID: 1のコマンドラインで指定された、「権限を昇格して実行する実行ファイル」部)
- CurrentDirectory: 作業ディレクトリ (検体のパス)
- User: 実行ユーザー (NY AUTHORITY\SYSTEM)
- LogonGuid/LogonId: ログオンセッションのID
- IntegrityLevel: 特権レベル (System)
- Hashes: 実行ファイルのハッシュ値 (直前のSysmon イベントID: 1のコマンドラインで指定された、「権限を昇格して実行する実行ファイル」の実行ファイルのハッシュ)
- ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID (直前のSysmon イベントID: 1で実行された検体のプロセスID)
- ParentImage: 親プロセスの実行ファイル (直前のSysmon イベントID: 1で実行された検体)
- ParentCommandLine: 親プロセスのコマンドライン (直前のSysmon イベントID: 1におけるCommandLine)
|
| セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
- サブジェクト > アカウント名: 実行したアカウント名 (ホスト名$)
- サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ホストの所属するドメイン)
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
- プロセス情報 > 新しいプロセスID: プロセスID (16進数)
- プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体の実行ファイル)
- プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」 (直前のイベントID: 4688における「新しいプロセスID」)
- ログの日時: プロセス実行日時 (ローカル時刻)
|
| 3 |
Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID (検体のプロセスID)
- SourceImage: アクセス元プロセスのパス (検体の実行ファイル)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID (権限が昇格して実行された実行ファイルのプロセスID)
- TargetImage: アクセス先プロセスのパス (権限が昇格して実行された実行ファイルのパス)
- GrantedAccess: 許可されたアクセスの内容 (0x1FFFFF)
|
| 4 |
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
- TargetFilename: 作成されたファイル (C:\Windows\Prefetch\[検体の実行ファイル]-[文字列].pf)
- CreationUtcTime: ファイル作成日時 (UTC)
|
| セキュリティ |
4656/4663 |
ファイル システム |
オブジェクトに対するハンドルが要求されました。 / オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID: 実行したユーザーSID
- サブジェクト > アカウント名: 実行したアカウント名
- サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル]-[文字列].pf)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
- アクセス要求情報 > アクセス: 要求された権限
|
| 5 |
Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated (rule: ProcessTerminate) |
Process terminated.
- UtcTime: プロセス終了日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (検体の実行ファイル)
|
| セキュリティ |
4689 |
プロセス終了 |
プロセスが終了しました。
- ログの日時: プロセス終了日時 (ローカル時刻)
- サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
- サブジェクト > アカウント名: 実行したアカウント名 (ホスト名$)
- サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ホストの所属するドメイン)
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: 実行ファイルのパス (検体の実行ファイル)
|