| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
- 作成元サブジェクト > アカウント名: [実行ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
- プロセス情報 > トークン昇格の種類: TokenElevationTypeFull (2)
- プロセス情報 > 作成元プロセス ID: [親プロセスID]
- プロセス情報 > プロセスのコマンド ライン: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- プロセス情報 > 必須ラベル: Mandatory Label\High Mandatory Level
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- CommandLine: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- CurrentDirectory: C:\WINDOWS\system32\
- User: [ドメイン名]\[実行ユーザー名]
- LogonId: [ログオンID]
- IntegrityLevel: High
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスID]
- ParentUser: [ドメイン名]\[実行ユーザー名]
|
| Microsoft-Windows-PowerShell/Operational |
40961 |
PowerShell コンソールの起動 |
PowerShell コンソールを起動しています |
| Microsoft-Windows-PowerShell/Operational |
53504 |
PowerShell 名前付きパイプ IPC |
Windows PowerShell は、AppDomain [param2] のプロセス [param1] でIPC リッスン スレッドを開始しました。 |
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: : C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- TargetFilename: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
- CreationUtcTime: [ファイル作成日時(UTC)]
- User: [ドメイン名]\[ユーザー名]
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\POWERSHELL.EXE-[ハッシュ値].pf
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: : C:\Windows\System32\svchost.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\POWERSHELL.EXE-[ハッシュ値].pf
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\svchost.exe
- TargetFilename: C:\Windows\Prefetch\POWERSHELL.EXE-[ハッシュ値].pf
- CreationUtcTime: [ファイル作成日時(UTC)]
- User: NT AUTHORITY\SYSTEM
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\lsass.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 135
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\lsass.exe
- User: [ドメイン名]\[ユーザー名]
- Protocol: tcp
- Initiated: true
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 135
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\lsass.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: [接続先ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\lsass.exe
- User: [ドメイン名]\[ユーザー名]
- Protocol: tcp
- Initiated: true
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: [接続先ポート番号]
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\svchost.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 389
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\svchost.exe
- User: [ドメイン名]\[ユーザー名]
- Protocol: tcp
- Initiated: true
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 389
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\lsass.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 88
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\lsass.exe
- User: NT AUTHORITY\SYSTEM
- Protocol: tcp
- Initiated: true
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 88
|
| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
- 作成元サブジェクト > アカウント名: [実行ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- プロセス情報 > トークン昇格の種類: TokenElevationTypeFull(2)
- プロセス情報 > 作成元プロセス ID: [親プロセスID]
- プロセス情報 > プロセスのコマンド ライン: "C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe" Start-Process -FilePath powershell.exe -ArgumentList \"-ExecutionPolicy Bypass -File \"\RECON\Create-TGSInMemory.ps1\"
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- CommandLine: "C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe" Start-Process -FilePath powershell.exe -ArgumentList \"-ExecutionPolicy Bypass -File \"\RECON\Create-TGSInMemory.ps1\"
- CurrentDirectory: C:\WINDOWS\system32\
- User: [ドメイン名]\[実行ユーザー名]
- LogonId: [ログオンID]
- IntegrityLevel: High
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスID]
- ParentImage: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- ParentCommandLine: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- ParentUser: [ドメイン名]\[実行ユーザー名]
|
| Security |
4673 |
Sensitive Privilege Use |
特権のあるサービスが呼び出されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- サービス > サーバー: Security
- サービス要求情報 > 特権: SeCreateGlobalPrivilege
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Microsoft-Windows-PowerShell/Operational |
40962 |
PowerShell コンソールの起動 |
PowerShell コンソールはユーザー入力を受け入れられるようになりました |
| Microsoft-Windows-PowerShell/Operational |
4104 |
リモート コマンドを実行 |
Scriptblock テキストを作成しています
|
| Windows PowerShell |
600 |
プロバイダーのライフサイクル |
プロバイダー "[ProviderName]" は [NewProviderState] です。
- ProviderName: [プロバイダー名]
- NewProviderState: Started
- SequenceNumber: [シーケンス番号]
- HostName: ConsoleHost
- HostVersion: [PowerShellのバージョン]
- HostId: [ホストID]
- HostApplication: C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe" Start-Process -FilePath powershell.exe -ArgumentList \"-ExecutionPolicy Bypass -File "\RECON\Create-TGSInMemory.ps1
|
| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
- 作成元サブジェクト > アカウント名: [実行ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- プロセス情報 > トークン昇格の種類: TokenElevationTypeFull (2)
- プロセス情報 > 作成元プロセス ID: [親プロセスID]
- プロセス情報 > プロセスのコマンド ライン: "C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass -File \RECON\Create-TGSInMemory.ps1
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- CommandLine: C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass -File \RECON\Create-TGSInMemory.ps1
- CurrentDirectory: C:\WINDOWS\system32\
- User: [ドメイン名]\[実行ユーザー名]
- LogonId: [ログオンID]
- IntegrityLevel: High
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスID]
- ParentImage: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- ParentCommandLine: "C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe" Start-Process -FilePath powershell.exe -ArgumentList \"-ExecutionPolicy Bypass -File "\RECON\Create-TGSInMemory.ps1
- ParentUser: [ドメイン名]\[実行ユーザー名]
|
| Security |
4689 |
Process Termination |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 終了状態: 0x0
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
スクリプト中で子プロセスとしてPowerShellが起動するため、その回数分発生する。 |
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- User: [ドメイン名]\[実行ユーザー名]
スクリプト中で子プロセスとしてPowerShellが起動するため、その回数分発生する。 |