Mimikatz (Silver Ticket)

項目	接続元	接続先
通信プロトコル	-	-
権限	Admin	Admin
ドメインへの所属	要	要
サービス	-	-
OS	Windows	Windows Server
備考	-	-

環境	動作可否
Windows 7 + Windows Server 2012	動作する
Windows 10 + Windows Server 2012	動作する
Windows 11 + Windows Server 2025	動作する

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > 作成元プロセス ID: [プロセスID] プロセス情報 > プロセスのコマンドライン: [実行ファイルのパス] プロセス情報 > 作成元プロセス名: [親プロセスのパス]
2	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: [実行ファイルのパス] FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ] CommandLine: [実行ファイルのパス] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentImage: [親実行ファイルのパス] ParentCommandLine: [親プロセスのパス] ParentUser: [親プロセスの実行ユーザ]
3	Security	4673	Sensitive Privilege Use	特権のあるサービスが呼び出されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サービス > サーバー: Security サービス > サービス名: - サービス要求情報 > 特権: SeTcbPrivilege プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
4	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > トークン昇格の種類: TokenElevationTypeLimited(3) プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: cmd.exe ターゲットサブジェクト > セキュリティ ID: S-1-0-0 ターゲットサブジェクト > アカウント名: - ターゲットサブジェクト > アカウントドメイン: - ターゲットサブジェクト > ログオン ID: 0x0 プロセス情報 > 作成元プロセス名: [実行ファイルのパス] Mimikatzからmisc::cmdで立ち上げたプロセス
5	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: [実行ファイルのパス] FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ] CommandLine: cmd.exe CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentImage: [親実行ファイルのパス] ParentCommandLine: [実行ファイルのパス] ParentUser: [親プロセスの実行ユーザ] Mimikatzからmisc::cmdで立ち上げたプロセス
6	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: System ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 445 ネットワーク情報 > プロトコル: 6 (TCP)
7	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: System User: NT AUTHORITY\SYSTEM Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 445
8	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名]
9	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	[ドライブ名]:\Windows\Prefetch\[実行ファイル名]-[文字列].pf	[実行ファイル名]	[実行ファイルのパス]

- 接続先

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: System User: [実行ユーザー] Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: [接続先ポート番号]
2	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: System ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 445 ネットワーク情報 > プロトコル: 6 (TCP)
3	Security	4672	Special Logon	新しいログオンに特権が割り当てられました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege, SeEnableDelegationPrivilege
4	Security	4624	Logon	アカウントが正常にログオンしました。サブジェクト > セキュリティ ID: NULL SID サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [ユーザーSID] 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウント名: [ドメイン名] ログオン情報 > ログオンタイプ: 3 詳細な認証情報 > ログオンプロセス: Kerberos 詳細な認証情報 > 認証パッケージ: Kerberos ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] プロセス情報 > プロセス名: [実行ファイルのパス] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] 偽装レベル: 偽装ログオン情報 > 昇格されたトークン: True

- 詳細情報

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > 作成元プロセス ID: [プロセスID] プロセス情報 > プロセスのコマンドライン: [実行ファイルのパス] ターゲットサブジェクト > セキュリティ ID: S-1-0-0 ターゲットサブジェクト > アカウント名: - ターゲットサブジェクト > アカウントドメイン: - ターゲットサブジェクト > ログオン ID: 0x0 プロセス情報 > 作成元プロセス名: [親プロセスのパス]
2	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: [実行ファイルのパス] FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ] CommandLine: [実行ファイルのパス] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentUser: [親プロセスの実行ユーザ]
3	Microsoft-Windows-Sysmon/Operational	7	Image loaded	Image loaded. UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: [実行ファイルのパス] ImageLoaded: [読み取ったDLLファイルなど] FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルなどのメタデータ] User: [ドメイン名]\[ユーザー名]
4	Security	4673	Sensitive Privilege Use	特権のあるサービスが呼び出されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サービス > サーバー: Security サービス > サービス名: - サービス要求情報 > 特権: SeProfileSingleProcessPrivilege プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
5	Security	4673	Sensitive Privilege Use	特権のあるサービスが呼び出されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サービス > サーバー: Security サービス > サービス名: - サービス要求情報 > 特権: SeTcbPrivilege プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
6	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
7	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
8	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
9	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf CreationUtcTime: [ファイル作成日時(UTC)]
10	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > トークン昇格の種類: TokenElevationTypeLimited(3) プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: cmd.exe ターゲットサブジェクト > セキュリティ ID: S-1-0-0 ターゲットサブジェクト > アカウント名: - ターゲットサブジェクト > アカウントドメイン: - ターゲットサブジェクト > ログオン ID: 0x0 プロセス情報 > 作成元プロセス名: [実行ファイルのパス] Mimikatzからmisc::cmdで立ち上げたプロセス
11	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: [実行ファイルのパス] FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ] CommandLine: cmd.exe CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentImage: [親実行ファイルのパス] ParentCommandLine: [実行ファイルのパス] ParentUser: [親プロセスの実行ユーザ] Mimikatzからmisc::cmdで立ち上げたプロセス
12	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: 4 アプリケーション情報 > アプリケーション名: System ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
13	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: System ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 445 ネットワーク情報 > プロトコル: 6 (TCP)
14	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: System User: NT AUTHORITY\SYSTEM Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 445
15	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\cmd.exe
16	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\Windows\System32\cmd.exe User: [ドメイン名]\[ユーザー名]
17	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\WINDOWS\SYSTEM32\cmd.exe TargetObject: HKLM\System\CurrentControlSet\Services\bam\State\UserSettings\[ユーザーSID]\\Device\HarddiskVolume[ボリューム番号]\Windows\System32\cmd.exe Details: Binary Data User: [ドメイン名]\[ユーザー名]
18	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
19	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名]

レジストリエントリ

#	パス	値	備考
1	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]	-	Amcache
2	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\ProgramId	[実行ファイルの識別子]	Amcache
3	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\FileId	[実行ファイルの識別子]	Amcache
4	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\LowerCaseLongPath	[実行ファイルのパス]	Amcache
5	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\Name	[実行ファイル名]	Amcache
6	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\OriginalFileName	[実行ファイルのファイル名]	Amcache
7	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\Publisher	[発行元]	Amcache
8	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\Version	[実行ファイルのバージョン]	Amcache
9	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\BinFileVersion	[実行ファイルのバージョン]	Amcache
10	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\BinaryType	[実行ファイルのバイナリタイプ]	Amcache
11	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\ProductName	[実行ファイル名]	Amcache
12	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\ProductVersion	[実行ファイルのバージョン]	Amcache
13	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\LinkDate	[実行ファイルのコンパイル/リンク日時]	Amcache
14	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\BinProductVersion	[実行ファイルのバージョン]	Amcache
15	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\Size	[実行ファイルのファイルサイズ]	Amcache
16	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\Language	[実行ファイルの言語ID]	Amcache
17	\{GUID}\Root\InventoryApplicationFile\[実行ファイル名]\|[文字列]\Usn	[USNジャーナル番号]	Amcache

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	[ドライブ名]:\Windows\Prefetch\[実行ファイル名]-[文字列].pf	[実行ファイル名]	[実行ファイルのパス]

MFT

#	パス	ヘッダフラグ	備考
1	[ドライブ名]:\Windows\Prefetch\[実行ファイルの実行ファイル名]-[文字列].pf	FILE	ALLOCATED

USNジャーナル

#	ファイル名	処理	備考
1	[実行ファイル名]-[文字列].pf	FileCreate	Archive+NotContentIndexed
2	[実行ファイル名]-[文字列].pf	DataExtend+FileCreate	Archive+NotContentIndexed
3	[実行ファイル名]-[文字列].pf	DataExtend+FileCreate+Close	Archive+NotContentIndexed

- 接続先

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: System ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 445 ネットワーク情報 > プロトコル: 6 (TCP)
2	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: 4 Image: System Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 445
3	Security	4672	Special Logon	新しいログオンに特権が割り当てられました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege, SeEnableDelegationPrivilege
4	Security	4624	Logon	アカウントが正常にログオンしました。サブジェクト > セキュリティ ID: S-1-0-0 サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [ユーザーSID] 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウント名: [ドメイン名] ログオン情報 > ログオンタイプ: 3 詳細な認証情報 > ログオンプロセス: Kerberos 詳細な認証情報 > 認証パッケージ: Kerberos ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] プロセス情報 > プロセス名: [実行ファイルのパス] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] 偽装レベル: 偽装ログオン情報 > 昇格されたトークン: True ユーザー名は任意のものが設定される。実在しないユーザーも指定可能。
5	Security	4627	Group Membership	グループメンバーシップ情報。新しいログオン > セキュリティ ID: [ユーザーSID] 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウント名: [ドメイン名] ログオンタイプ: 3 グループメンバーシップ: [ユーザーが所属するグループSID] 攻撃者が任意のグループを指定している可能性がある。
6	Security	5140	File Share	ネットワーク共有オブジェクトにアクセスしました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\IPC$ アクセス要求情報 > アクセス: ReadData (または ListDirectory)
7	Security	5140	File Share	ネットワーク共有オブジェクトにアクセスしました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\C$ 共有情報 > 共有パス: \??\C:\ アクセス要求情報 > アクセス: ReadData (または ListDirectory)
8	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\C$ 共有情報 > 共有パス: \??\C:\ 共有情報 > 相対ターゲット名: \ アクセス要求情報 > アクセス: SYNCHRONIZE, ReadData (または ListDirectory), ReadAttributes
9	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\C$ 共有情報 > 共有パス: \??\C:\ 共有情報 > 相対ターゲット名: \ アクセス要求情報 > アクセス: SYNCHRONIZE, ReadAttributes

- パケット

#	オペレーション	接続元ホスト	接続元ポート番号	接続先ホスト	接続先ポート	プロトコル	アプリケーション
1	Negotiate Protocol Request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
2	Negotiate Protocol Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
3	Negotiate Protocol Request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
4	Negotiate Protocol Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
5	Session Setup Request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
6	Session Setup Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
7	Tree Connect Request Tree: \\[接続先ホスト名]\IPC$	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
8	Tree Connect Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
9	Ioctl Request FSCTL_QUERY_NETWORK_INTERFACE_INFO	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
10	Ioctl Request FSCTL_DFS_GET_REFERRALS, File: \[接続先ホスト名]\C$	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
11	Ioctl Response FSCTL_QUERY_NETWORK_INTERFACE_INFO	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
12	Ioctl Response, Error: STATUS_PENDING	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
13	Ioctl Response, Error: STATUS_NOT_FOUND	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
14	Tree Connect Request Tree: \\[接続先ホスト名]\C$	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
15	Tree Connect Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
16	Create Request File:	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
17	Create Response File:	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
18	GetInfo Request FS_INFO/FileFsVolumeInformation File: ;GetInfo Request FS_INFO/FileFsAttributeInformation File:	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
19	GetInfo Response;GetInfo Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
20	Close Request File:	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
21	Close Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
22	Create Request File:	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
23	Create Response File:	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
24	Find Request File: (Level:0x51) Pattern: ;Find Request File: (Level:0x51) Pattern:	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
25	Find Response;Find Response, Error: STATUS_NO_MORE_FILES	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
26	Create Request File: ;GetInfo Request FS_INFO/FileFsFullSizeInformation	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
27	Create Response File: ;GetInfo Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
28	Close Request File:	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
29	Close Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
30	Tree Disconnect Request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
31	Tree Disconnect Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
32	Session Setup Request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
33	Session Setup Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
34	Tree Connect Request Tree: \\[接続先ホスト名]\IPC$	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
35	Tree Connect Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
36	Ioctl Request FSCTL_DFS_GET_REFERRALS, File:	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
37	Ioctl Response FSCTL_DFS_GET_REFERRALS	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
38	Tree Disconnect Request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
39	Tree Disconnect Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
40	Session Logoff Request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
41	Session Logoff Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2

Mimikatz (Silver Ticket)

- 目次

- ツール概要

- ツール動作概要

- 概要

- 動作確認環境

- ログから得られる情報

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

Prefetch

- 接続先

イベントログ

- 詳細情報

- 接続元

イベントログ

レジストリエントリ

Prefetch

MFT

USNジャーナル

- 接続先

イベントログ

- パケット

- 備考