| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- CommandLine: [実行ファイルのパス]
- CurrentDirectory: [作業ディレクトリ]
- User: [実行ユーザー]
- LogonId: [ログオンセッションのID]
- IntegrityLevel: High
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスのプロセスID]
- ParentImage: [親プロセスの実行ファイル]
- ParentCommandLine: [親プロセスのコマンドライン]
|
| セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- SubjectUserSid: [ユーザーSID]
- SubjectUserName: [ユーザー名]
- SubjectDomainName: [ドメイン名]
- LogonId: [プロセスを実行したユーザーのセッションID]
- NewProcessId: [実行プロセスID]
- NewProcessName: [実行ファイルのパス]
- TokenElevationType: TokenElevationTypeFull(2)
- ProcessId: [新プロセスを作成した親プロセスのプロセスID]
- ParentProcessName: [新プロセスを作成した親プロセスのパス]
|
| セキュリティ |
4673 |
重要な特権の使用 |
特権のあるサービスが呼び出されました。
- SubjectUserSid: [ユーザーSID]
- SubjectUserName: [ユーザー名]
- SubjectDomainName: [ドメイン名]
- PrivilegeList: SeTcbPrivilege
- ProcessId: [実行プロセスID]
- ProcessName: [実行ファイルのパス]
|
| セキュリティ |
4673 |
重要な特権の使用 |
特権のあるサービスが呼び出されました。
- SubjectUserSid: [ユーザーSID]
- SubjectUserName: [ユーザー名]
- SubjectDomainName: [ドメイン名]
- PrivilegeList: SeTcbPrivilege
- ProcessId: [実行プロセスID]
- ProcessName: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- ProcessId: [実行プロセスID]
- Image: C:\WINDOWS\system32\svchost.exe
- TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
- CreationUtcTime: [ファイル作成日時(UTC)]
|
| セキュリティ |
4656 |
ファイル システム |
オブジェクトに対するハンドルが要求されました。
- SubjectUserSid: [ユーザーSID]
- SubjectUserName: [ユーザー名]
- SubjectDomainName: [ドメイン名]
- LogonId: [プロセスを実行したユーザーのセッションID]
- ObjectType: File
- ObjectName: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
- HandleId: [ハンドルID]
- AccessList: WriteData (または AddFile)、AppendData
- ProcessId: [実行プロセスID]
- ProcessName: C:\Windows\System32\svchost.exe
|
| セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- SubjectUserSid: [ユーザーSID]
- SubjectUserName: [ユーザー名]
- SubjectDomainName: [ドメイン名]
- LogonId: [プロセスを実行したユーザーのセッションID]
- ObjectType: File
- ObjectName: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
- HandleId: [直前のイベント4656で取得されたハンドル]
- AccessList: WriteData (または AddFile)、AppendData
- ProcessId: [実行プロセスID]
- ProcessName: C:\Windows\System32\svchost.exe
|
| セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- SubjectUserSid: [ユーザーSID]
- SubjectUserName: [ユーザー名]
- SubjectDomainName: [ドメイン名]
- LogonId: [プロセスを実行したユーザーのセッションID]
- HandleId: [直前のイベント4656で取得されたハンドル]
- ProcessId: [実行プロセスID]
- ProcessName: C:\Windows\System32\svchost.exe
|
| セキュリティ |
4703 |
Token Right Adjusted Events |
A token right was adjusted.
- SubjectUserSid: [ユーザーSID]
- SubjectUserName: [ユーザー名]
- SubjectDomainName: [ドメイン名]
- LogonId: [プロセスを実行したユーザーのセッションID]
- TargetUserSid: [対象ユーザーSID]
- TargetUserName: [対象ユーザー名]
- TargetDomainName: [対象ドメイン名]
- TargetLogonId: [対象ユーザーのセッションID]
- ProcessName: [実行ファイルのパス]
- ProcessId: [実行プロセスID]
- EnabledPrivilegeList: SeDebugPrivilege
- DisabledPrivilegeList: -
|
| セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- SubjectUserSid: [ユーザーSID]
- SubjectUserName: [ユーザー名]
- SubjectDomainName: [ドメイン名]
- ObjectType: Process
- ObjectName: \Device\HarddiskVolume2\Windows\System32\lsass.exe
- HandleId: [ハンドルID]
- AccessList: プロセス メモリからの読み取り
- ProcessId: [実行プロセスID]
- ProcessName: [実行ファイルのパス]
|
| セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- SubjectUserSid: [ユーザーSID]
- SubjectUserName: [ユーザー名]
- SubjectDomainName: [ドメイン名]
- ObjectType: Process
- ObjectName: \Device\HarddiskVolume2\Windows\System32\lsass.exe
- HandleId: [直前のイベント4656で取得されたハンドル]
- AccessList: プロセス メモリからの読み取り
- ProcessId: [実行プロセスID]
- ProcessName: [実行ファイルのパス]
|
| セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- SubjectUserSid: [ユーザーSID]
- SubjectUserName: [ユーザー名]
- SubjectDomainName: [ドメイン名]
- HandleId: [直前のイベント4656で取得されたハンドル]
- ProcessId: [実行プロセスID]
- ProcessName: [実行ファイルのパス]
|
| セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- SubjectUserSid: [ユーザーSID]
- SubjectUserName: [ユーザー名]
- SubjectDomainName: [ドメイン名]
- ObjectType: File
- ObjectName: [カレントディレクトリ]\[サービス名].kirbi
- HandleId: [ハンドルID]
- AccessList: WriteDataまたはAddFile、AppendData
- ProcessId: [実行プロセスID]
- ProcessName: [実行ファイルのパス]
|
| セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- SubjectUserSid: [ユーザーSID]
- SubjectUserName: [ユーザー名]
- SubjectDomainName: [ドメイン名]
- ObjectType: File
- ObjectName: [カレントディレクトリ]\[サービス名].kirbi
- HandleId: [直前のイベント4656で取得されたハンドル]
- AccessList: WriteDataまたはAddFile、AppendData
- ProcessId: [実行プロセスID]
- ProcessName: [実行ファイルのパス]
|
| セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- SubjectUserSid: [ユーザーSID]
- SubjectUserName: [ユーザー名]
- SubjectDomainName: [ドメイン名]
- HandleId: [直前のイベント4656で取得されたハンドル]
- ProcessId: [実行プロセスID]
- ProcessName: [実行ファイルのパス]
|
| セキュリティ |
4689 |
プロセス終了 |
プロセスが終了しました。
- SubjectUserSid: [ユーザーSID]
- SubjectUserName: [ユーザー名]
- SubjectDomainName: [ドメイン名]
- LogonId: [プロセスを実行したユーザーのセッションID]
- ProcessId: [実行プロセスID]
- ProcessName: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
|