| 1 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID (4)
- Image: 実行ファイルのパス (System)
- User: 実行ユーザー
- Protocol: プロトコル (tcp)
- SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (445)
- DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (ハイポート)
|
| セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID (4)
- アプリケーション情報 > アプリケーション名: 実行プロセス (System)
- ネットワーク情報 > 方向: 通信方向 (受信/承諾)
- ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号 (445)
- ネットワーク情報 > 宛先アドレス/宛先ポート: 宛先IPアドレス/ポート番号 (ハイポート)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
| 2 |
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created.
- ProcessGuid/ProcessId: プロセスID (4)
- Image: 実行ファイルのパス (System)
- TargetFilename: 作成されたファイル (C:\Windows\PSEXESVC.exe)
- CreationUtcTime: ファイル作成日時 (UTC)
|
| セキュリティ |
5140 |
ファイルの共有 |
ネットワーク共有オブジェクトにアクセスしました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- ネットワーク情報 > オブジェクトの種類: 対象の区分 (File)
- ネットワーク情報 > 送信元/ソース ポート: 実行元ホスト/ポート番号
- 共有情報 > 共有名: 使用された共有名 (\\*\ADMIN$)
- 共有情報 > 共有パス: 共有のパス (\??\C:\Windows)
- アクセス要求情報 > アクセス: 要求された権限 (ReadData または ListDirectory)
|
| セキュリティ |
5145 |
詳細なファイル共有 |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
- ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号
- 共有情報 > 共有名: 共有名 (\\*\ADMIN$)
- 共有情報 > 共有パス: 共有のパス (\??\C:\Windows)
- 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (PSEXESVC.exe)
- アクセス要求情報 > アクセス: 要求された権限 (WriteData または AddFile, AppendDataを含む)
|
| セキュリティ |
4656/4663 |
ファイル システム |
オブジェクトに対するハンドルが要求されました。 / オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\PSEXESVC.exe)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- アクセス要求情報 > アクセス: 要求された権限 (WriteData, WriteAttributesを含む)
|
| 3 |
セキュリティ |
4672 |
特殊なログオン |
新しいログオンに特権が割り当てられました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- 特権: 割り当てられた特権 (SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege)
|
| セキュリティ |
4624 |
ログオン |
アカウントが正常にログオンしました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
- ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
- 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
- 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: 実行ファイルのパス
- ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
- ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
- ネットワーク情報 > ソース ポート: 接続元ポート番号
- 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (NtLmSsp)
- 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (NTLM)
- 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン
- 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ
|
| 4 |
Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted (rule: RegistryEvent) |
Registry object added or deleted.
- EventType: 処理の種類 (CreateKey)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
- TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PSEXESVC)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set (rule: RegistryEvent) |
Registry value set.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
- TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PSEXESVC\Type)
- Details: レジストリに書き込まれた設定値 (DWORD: 0x00000010)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set (rule: RegistryEvent) |
Registry value set.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
- TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PSEXESVC\Start)
- Details: レジストリに書き込まれた設定値 (DWORD: 0x00000003)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set (rule: RegistryEvent) |
Registry value set.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
- TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PSEXESVC\ErrorControl)
- Details: レジストリに書き込まれた設定値 (DWORD: 0x00000000)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set (rule: RegistryEvent) |
Registry value set.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
- TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PSEXESVC\ImagePath)
- Details: レジストリに書き込まれた設定値 (%SystemRoot%\PSEXESVC.exe)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set (rule: RegistryEvent) |
Registry value set.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
- TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PSEXESVC\DisplayName)
- Details: レジストリに書き込まれた設定値 (PSEXESVC)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set (rule: RegistryEvent) |
Registry value set.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
- TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PSEXESVC\WOW64)
- Details: レジストリに書き込まれた設定値 (DWORD: 0x00000001)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set (rule: RegistryEvent) |
Registry value set.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
- TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PSEXESVC\ObjectName)
- Details: レジストリに書き込まれた設定値 (LocalSystem)
|
| システム |
7045 |
サービスがシステムにインストールされました |
サービスがインストールされました。
- サービス名: サービス一覧に表示される名前 (PSEXESVC)
- サービス ファイル名: サービス実行ファイル (%SystemRoot%\PSEXESVC.exe)
- サービスの種類: 実行されるサービスの種類 (ユーザー モード サービス)
- サービス開始の種類: サービスを開始するトリガの動作 (要求による開始)
- サービス アカウント: 実行するアカウント (LocalSystem)
|
| 5 |
Microsoft-Windows-Sysmon/Operational |
1 |
Process Create (rule: ProcessCreate) |
Process Create.
- UtcTime: プロセス実行日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\PSEXESVC.exe)
- CommandLine: 実行コマンドのコマンドライン
- User: 実行ユーザー (NT AUTHORITY\SYSTEM)
- LogonGuid/LogonId: ログオンセッションのID
- Hashes: 実行ファイルのハッシュ値
- ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
- ParentImage: 親プロセスの実行ファイル (C:\Windows\system32\services.exe)
- ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\system32\services.exe)
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\services.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\PSEXESVC.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1FFFFF,0x1400)
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\svchost.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\PSEXESVC.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1410,0x101410)
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed (rule: ProcessAccess) |
Process accessed.
- SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
- SourceImage: アクセス元プロセスのパス (C:\Windows\system32\lsass.exe)
- TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
- TargetImage: アクセス先プロセスのパス (C:\Windows\PSEXESVC.exe)
- GrantedAccess: 許可されたアクセスの内容 (0x1000,0x1478)
|
| セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- ログの日時: プロセス実行日時 (ローカル時刻)
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > 新しいプロセスID: プロセスID (16進数)
- プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\PSEXESVC.exe)
- プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
- プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
- プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス。Windows 10のみで記録を確認
|
| システム |
7036 |
Service Control Manager |
[サービス名] サービスは [状態] に移行しました。
- サービス名: 対象のサービス名 (PSEXESVC)
- 状態: 移行後の状態 (実行中)
|
| 6 |
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\PSEXESVC.exe)
- TargetFilename: 作成されたファイル (C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18)
- CreationUtcTime: ファイル作成日時 (UTC)
|
| セキュリティ |
4656/4663 |
ファイル システム |
オブジェクトに対するハンドルが要求されました。 / オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18、及びその配下)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- アクセス要求情報 > アクセス: 要求された権限 (WriteDataまたはAddFile, AppendData)
|
| 7 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
- User: 実行ユーザー (NT AUTHORITY\SYSTEM)
- Protocol: プロトコル (tcp)
- SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (135)
- DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (ハイポート)
|
| セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (C:\Windows\System32\lsass.exe)
- ネットワーク情報 > 方向: 通信方向 (受信/承諾)
- ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号 (135)
- ネットワーク情報 > 宛先アドレス/宛先ポート: 宛先IPアドレス/ポート番号 (ハイポート)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
| 8 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
- User: 実行ユーザー (NT AUTHORITY\SYSTEM)
- Protocol: プロトコル (tcp)
- SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (ハイポート)
- DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (ハイポート)
|
| セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (C:\Windows\System32\lsass.exe)
- ネットワーク情報 > 方向: 通信方向 (着信)
- ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス/宛先ポート: 宛先IPアドレス/ポート番号 (ハイポート)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
| 9 |
Microsoft-Windows-Sysmon/Operational |
1 |
Process Create (rule: ProcessCreate) |
Process Create.
- UtcTime: プロセス実行日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (PsExecによって実行された、実行ファイルのパス)
- User: 実行ユーザー
- LogonGuid/LogonId: ログオンセッションのID
- Hashes: 実行ファイルのハッシュ値
- ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
- ParentImage: 親プロセスの実行ファイル (C:\Windows\PSEXESVC.exe)
- ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\PSEXESVC.exe)
備考: PsExecによって、別プロセスが実行される。その後の動作は、実行されたプロセスに依存する。実行されたプロセスIDに対するSysmon イベントID: 5 (Process terminated) が出力されれば、当該プロセスが終了したことが分かる。 |
| セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- ログの日時: プロセス実行日時 (ローカル時刻)
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > 新しいプロセスID: プロセスID (16進数)
- プロセス情報 > 新しいプロセス名: 実行ファイルのパス
- プロセス情報 > 必須ラベル: 権限昇格の要否
- プロセス情報 > トークン昇格の種類: 権限昇格の有無
- プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
- プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス。Windows 10のみで記録を確認 (C:\Windows\PSEXESVC.exe)
備考: PsExecによって、別プロセスが実行される。その後の動作は、実行されたプロセスに依存する。実行されたプロセスIDに対するイベントID: 4689 (プロセス終了) が出力されれば、当該プロセスが終了したことが分かる。 |
| セキュリティ |
5140 |
ファイルの共有 |
ネットワーク共有オブジェクトにアクセスしました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- ネットワーク情報 > 送信元/ソース ポート: 実行元ホスト/ポート番号。ポート番号は、最初に使用された445/tcpの通信における接続元ポートが使用される
- 共有情報 > 共有名: 使用された共有名 (\\*\IPC$)
備考: 結果を接続元へ出力するため、共有パスが用意される。 |
| セキュリティ |
5145 |
詳細なファイル共有 |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号。ポート番号は、最初に使用された445/tcpの通信における接続元ポートが使用される
- 共有情報 > 共有名: 共有名 (\\*\IPC$)
- 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (PSEXESVC)
- アクセス要求情報 > アクセス: 要求された権限 (WriteDataまたはAddFileを含む)
|
| セキュリティ |
5145 |
詳細なファイル共有 |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
- ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号
- 共有情報 > 共有名: 共有名 (\\*\IPC$)
- 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (PSEXESVC-[接続元ホスト名]-[接続元プロセスID]-stdin)
- アクセス要求情報 > アクセス: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
|
| セキュリティ |
5145 |
詳細なファイル共有 |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
- ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号
- 共有情報 > 共有名: 共有名 (\\*\IPC$)
- 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (PSEXESVC-[接続元ホスト名]-[接続元プロセスID]-stdout)
- アクセス要求情報 > アクセス: 要求された権限 (ReadDataを含む)
|
| セキュリティ |
5145 |
詳細なファイル共有 |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
- ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号
- 共有情報 > 共有名: 共有名 (\\*\IPC$)
- 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (PSEXESVC-[接続元ホスト名]-[接続元プロセスID]-stderr)
- アクセス要求情報 > アクセス: 要求された権限 (SYNCHRONIZEを含む)
|
| 10 |
Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated (rule: ProcessTerminate) |
Process terminated.
- UtcTime: プロセス終了日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\PSEXESVC.exe)
|
| セキュリティ |
4689 |
プロセス終了 |
プロセスが終了しました。
- ログの日時: プロセス終了日時 (ローカル時刻)
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\PSEXESVC.exe)
- プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
|
| システム |
7036 |
Service Control Manager |
[サービス名] サービスは [状態] に移行しました。
- サービス名: 対象のサービス名 (PSEXESVC)
- 状態: 移行後の状態 (停止)
|
| 11 |
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
- TargetFilename: 作成されたファイル (C:\Windows\Prefetch\PSEXECSVC.EXE-[ランダム数字].pf)
- CreationUtcTime: ファイル作成日時 (UTC)
|
| セキュリティ |
4656/4663 |
ファイル システム |
オブジェクトに対するハンドルが要求されました。 / オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\PSEXESVC.EXE-[ランダム数字].pf)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- アクセス要求情報 > アクセス: 要求された権限 (WriteDataまたはAddFile, AppendData)
|
| 12 |
Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set (rule: RegistryEvent) |
Registry value set.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
- TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PSEXESVC\DeleteFlag)
- Details: レジストリに書き込まれた設定値 (DWORD: 0x00000001)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set (rule: RegistryEvent) |
Registry value set.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
- TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PSEXESVC\Start)
- Details: レジストリに書き込まれた設定値 (DWORD: 0x00000004)
|
| 13 |
Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted (rule: RegistryEvent) |
Registry object added or deleted.
- EventType: 処理の種類 (DeleteKey)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
- TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PSEXESVC)
|
| セキュリティ |
4674 |
重要な特権の使用 |
特権のあるオブジェクトで操作が試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクト サーバー: 処理を実行したサービス (SC Manager)
- オブジェクト > オブジェクトの種類: 処理対象オブジェクトの種類 (SERVICE OBJECT)
- オブジェクト > オブジェクト名: 処理対象オブジェクトの名前 (PSEXESVC)
- プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\services.exe)
- 要求された操作 > 特権: 要求された権限 (DELETE)
|
| セキュリティ |
5145 |
詳細なファイル共有 |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
- ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号
- 共有情報 > 共有名: 共有名 (\\*\ADMIN$)
- 共有情報 > 共有パス: 共有のパス (\\??\C:\Windows)
- 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (PSEXESVC.exe)
- アクセス要求情報 > アクセス: 要求された権限 (DELETE)
|
| セキュリティ |
4656/4663 |
ファイル システム |
オブジェクトに対するハンドルが要求されました。 / オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクト名: 対象のファイル名
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- アクセス要求情報 > アクセス: 要求された権限 (DELETE)
|
| セキュリティ |
4660 |
ファイル システム |
オブジェクトが削除されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\PSEXESVC.exe)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656/4663で要求されたハンドル)
- アクセス要求情報 > アクセス: 要求された権限 (DELETE)
|