| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: 4
- アプリケーション情報 > アプリケーション名: System
- ネットワーク情報 > 方向: 着信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 445
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\lsass.exe
- ネットワーク情報 > ソース ポート: [接続先ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続先IPアドレス]
- ネットワーク情報 > ソース ポート: [接続先ポート番号]
- ネットワーク情報 > 宛先アドレス: [ドメインコントローラーIPアドレス]
- ネットワーク情報 > 宛先ポート: 135
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
4776 |
Credential Validation |
コンピューターがアカウントの資格情報の確認を試行しました。
- 認証パッケージ: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
- ログオン アカウント: [ユーザー名]
- ソース ワークステーション: [接続元ホスト名]
|
| Security |
4672 |
Special Logon |
新しいログオンに特権が割り当てられました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege
|
| Security |
4624 |
Logon |
アカウントが正常にログオンしました。
- サブジェクト > セキュリティ ID: S-1-0-0
- サブジェクト > アカウント名: -
- サブジェクト > アカウント ドメイン: -
- サブジェクト > ログオン ID: 0x0
- 新しいログオン > セキュリティ ID: [実行ユーザーのSID]
- 新しいログオン > アカウント名: [ユーザー名]
- 新しいログオン > アカウント名: [ドメイン名]
- ログオン情報 > ログオン タイプ: 3
- ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
- ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
|
| Security |
5140 |
File Share |
ネットワーク共有オブジェクトにアクセスしました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\ADMIN$
- 共有情報 > 共有パス: \??\C:\WINDOWS
- アクセス要求情報 > アクセス: ReadData (または ListDirectory)
|
| Security |
5145 |
Detailed File Share |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\ADMIN$
- 共有情報 > 共有パス: \??\C:\WINDOWS
- 共有情報 > 相対ターゲット名: \
- アクセス要求情報 > アクセス: ReadAttributes
|
| Security |
5145 |
Detailed File Share |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\ADMIN$
- 共有情報 > 共有パス: \??\C:\WINDOWS
- 共有情報 > 相対ターゲット名: PSEXESVC.exe
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes
|
| Security |
5145 |
Detailed File Share |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\ADMIN$
- 共有情報 > 共有パス: \??\C:\WINDOWS
- 共有情報 > 相対ターゲット名: PSEXESVC.exe
- アクセス要求情報 > アクセス: WriteData (または AddFile)
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\PSEXESVC.exe
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes
- プロセス情報 > プロセス ID: 4
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\PSEXESVC.exe
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteData (または AddFile)
- プロセス情報 > プロセス ID: 4
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\PSEXESVC.exe
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteAttributes
- プロセス情報 > プロセス ID: 4
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: 4
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: System
- TargetFilename: C:\Windows\PSEXESVC.exe
- CreationUtcTime: [ファイル作成日時(UTC)]
|
| Microsoft-Windows-Sysmon/Operational |
29 |
File Executable Detected |
File Executable Detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: System
- TargetFilename: C:\Windows\PSEXESVC.exe
- Hashes: [PSEXESVC.exeのハッシュ値]
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\svchost.exe
- ネットワーク情報 > 方向: 着信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 135
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\services.exe
- ネットワーク情報 > 方向: 着信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: [接続先ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
4776 |
Credential Validation |
コンピューターがアカウントの資格情報の確認を試行しました。
- 認証パッケージ: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
- ログオン アカウント: [ユーザー名]
- ソース ワークステーション: [接続元ホスト名]
|
| Security |
4672 |
Special Logon |
新しいログオンに特権が割り当てられました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege
|
| Security |
4624 |
Logon |
アカウントが正常にログオンしました。
- サブジェクト > セキュリティ ID: S-1-0-0
- サブジェクト > アカウント名: -
- サブジェクト > アカウント ドメイン: -
- サブジェクト > ログオン ID: 0x0
- 新しいログオン > セキュリティ ID: [実行ユーザーのSID]
- 新しいログオン > アカウント名: [ユーザー名]
- 新しいログオン > アカウント名: [ドメイン名]
- ログオン情報 > ログオン タイプ: 3
- ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
- ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
|
| Security |
4697 |
Security System Extension |
サービスがシステムにインストールされました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- サービス情報 > サービス名: PSEXESVC
- サービス情報 > サービス ファイル名: %SystemRoot%\PSEXESVC.exe
- サービス情報 > サービスの種類: 0x10
- サービス情報 > サービス開始の種類: 3
- サービス情報 > サービス アカウント: LocalSystem
|
| Security |
4674 |
Sensitive Privilege Use |
特権のあるオブジェクトで操作が試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: SC Manager
- オブジェクト > オブジェクトの種類: SERVICE OBJECT
- オブジェクト > オブジェクト名: PSEXESVC
- 要求された操作 > 特権: SeTakeOwnershipPrivilege
- 要求された操作 > 望ましいアクセス権: DELETE, READ_CONTROL, WRITE_DAC, サービス構成情報の照会, サービス構成情報の設定, サービス ステータスの照会, サービスの依存関係の列挙, サービスの開始, サービスの停止, サービスの一時停止または続行, サービスからの情報の照会, サービス固有の制御コマンドの実行
- プロセス情報 > プロセス名: C:\Windows\System32\services.exe
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\services.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\PSEXESVC
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\services.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\PSEXESVC\Type
- Details: DWORD (0x00000010)
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\services.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\PSEXESVC\Start
- Details: DWORD (0x00000003)
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\services.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\PSEXESVC\ErrorControl
- Details: DWORD (0x00000000)
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\services.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\PSEXESVC\ImagePath
- Details: %%SystemRoot%%\PSEXESVC.exe
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\services.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\PSEXESVC\DisplayName
- Details: PSEXESVC
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\services.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\PSEXESVC\ObjectName
- Details: LocalSystem
- User: NT AUTHORITY\SYSTEM
|
| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: C:\Windows\PSEXESVC.exe
- プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
- プロセス情報 > 作成元プロセス ID: [親プロセスID]
- プロセス情報 > プロセスのコマンド ライン: C:\WINDOWS\PSEXESVC.exe
- プロセス情報 > 作成元プロセス名: C:\Windows\System32\services.exe
- プロセス情報 > 必須ラベル: Mandatory Label\System Mandatory Level
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\PSEXESVC.exe
- FileVersion・Description・Product・Company・OriginalFileName: [PSEXESVC.exeのメタデータ]
- CommandLine: C:\WINDOWS\PSEXESVC.exe
- CurrentDirectory: C:\WINDOWS\system32\
- User: NT AUTHORITY\SYSTEM
- LogonId: [ログオンID]
- IntegrityLevel: System
- Hashes: [PSEXESVC.exeのハッシュ値]
- ParentProcessId: [親プロセスID]
- ParentImage: C:\Windows\System32\services.exe
- ParentCommandLine: C:\WINDOWS\system32\services.exe
- ParentUser: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
7 |
Image loaded |
Image loaded.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\PSEXESVC.exe
- ImageLoaded: [読み取ったDLLファイルなど]
- FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルなどのメタデータ]
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
17 |
Pipe Created |
Pipe Created
- EventType: CreatePipe
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- PipeName: \PSEXESVC
- Image: C:\WINDOWS\PSEXESVC.exe
- User: NT AUTHORITY\SYSTEM
|
| Security |
5145 |
Detailed File Share |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\ADMIN$
- 共有情報 > 共有パス: \??\C:\WINDOWS
- 共有情報 > 相対ターゲット名: PSEXEC-[接続元ホスト名]-[文字列].key
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes
|
| Security |
5145 |
Detailed File Share |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\ADMIN$
- 共有情報 > 共有パス: \??\C:\WINDOWS
- 共有情報 > 相対ターゲット名: PSEXEC-[接続元ホスト名]-[文字列].key
- アクセス要求情報 > アクセス: WriteData (または AddFile)
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\PSEXEC-[接続元ホスト名]-[文字列].key
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes
- プロセス情報 > プロセス ID: 4
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\PSEXEC-[接続元ホスト名]-[文字列].key
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteData (または AddFile)
- プロセス情報 > プロセス ID: 4
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: System
- TargetFilename: C:\Windows\PSEXEC-[接続元ホスト名]-[文字列].key
- CreationUtcTime: [ファイル作成日時(UTC)]
- User: NT AUTHORITY\SYSTEM
|
| Security |
5140 |
File Share |
ネットワーク共有オブジェクトにアクセスしました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\IPC$
- アクセス要求情報 > アクセス: ReadData (または ListDirectory)
|
| Security |
5145 |
Detailed File Share |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\IPC$
- 共有情報 > 相対ターゲット名: PSEXESVC
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
|
| Microsoft-Windows-Sysmon/Operational |
18 |
Pipe Connected |
Pipe Connected
- EventType: ConnectPipe
- UtcTime: [発生日時(UTC)]
- PipeName: \PSEXESVC
- Image: System
- User: NT AUTHORITY\SYSTEM
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: S-1-5-18
- サブジェクト > アカウント名: [接続先コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\PSEXEC-[接続元ホスト名]-[文字列].key
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, 実行/スキャン, DeleteChild, ReadAttributes, WriteAttributes
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\PSEXESVC.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: S-1-5-18
- サブジェクト > アカウント名: [接続先コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\PSEXESVC.exe
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: SYSTEM
- サブジェクト > アカウント名: [接続先コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\PSEXEC-[接続元ホスト名]-[文字列].key
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: DELETE, ReadAttributes
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\PSEXESVC.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: SYSTEM
- サブジェクト > アカウント名: [接続先コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\PSEXEC-[接続元ホスト名]-[文字列].key
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: DELETE
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\PSEXESVC.exe
|
| Security |
4660 |
File System |
オブジェクトが削除されました。
- サブジェクト > セキュリティ ID: SYSTEM
- サブジェクト > アカウント名: [接続先コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\PSEXESVC.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: SYSTEM
- サブジェクト > アカウント名: [接続先コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\PSEXESVC.exe
|
| Microsoft-Windows-Sysmon/Operational |
23 |
File Delete archived |
File Delete archived
- User: NT AUTHORITY\SYSTEM
- Image: C:\WINDOWS\PSEXESVC.exe
- TargetFilename: C:\Windows\PSEXEC-[接続元ホスト名]-[文字列].key
- Hashes: [ファイルのハッシュ値]
- IsExecutable: False
- Archived: True
|
| Security |
5145 |
Detailed File Share |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\ADMIN$
- 共有情報 > 共有パス: \??\C:\WINDOWS
- 共有情報 > 相対ターゲット名: PSEXEC-[接続元ホスト名]-[文字列].key
- アクセス要求情報 > アクセス: DELETE, ReadAttributes
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed |
Process accessed.
- UtcTime: [発生日時(UTC)]
- SourceProcessId: [アクセス元プロセスID]
- SourceThreadId: [アクセス元スレッドID]
- SourceImage: C:\WINDOWS\system32\lsass.exe
- TargetProcessId: [アクセス先プロセスID]
- TargetImage: C:\WINDOWS\PSEXESVC.exe
- GrantedAccess: 0x1000
|
| Security |
4673 |
Sensitive Privilege Use |
特権のあるサービスが呼び出されました。
- サブジェクト > セキュリティ ID: S-1-5-18
- サブジェクト > アカウント名: [接続先コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- サービス > サーバー: NT Local Security Authority / Authentication Service
- サービス > サービス名: LsaRegisterLogonProcess()
- サービス要求情報 > 特権: SeTcbPrivilege
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed |
Process accessed.
- UtcTime: [発生日時(UTC)]
- SourceProcessId: [アクセス元プロセスID]
- SourceThreadId: [アクセス元スレッドID]
- SourceImage: C:\WINDOWS\system32\lsass.exe
- TargetProcessId: [アクセス先プロセスID]
- TargetImage: C:\WINDOWS\PSEXESVC.exe
- GrantedAccess: 0x1478
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\WINDOWS\PSEXESVC.exe
- TargetFilename: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18
- CreationUtcTime: [ファイル作成日時(UTC)]
- User: NT AUTHORITY\SYSTEM
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: S-1-5-18
- サブジェクト > アカウント名: [接続先コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\88d05cb4fa49aee2efb7ec0a762a098e_50f135f1-ba2f-4355-87ee-19ef5df9733a
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\PSEXESVC.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: S-1-5-18
- サブジェクト > アカウント名: [接続先コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\88d05cb4fa49aee2efb7ec0a762a098e_50f135f1-ba2f-4355-87ee-19ef5df9733a
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\PSEXESVC.exe
- オブジェクト > リソース属性: S:AI
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: S-1-5-18
- サブジェクト > アカウント名: [接続先コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\PSEXESVC.exe
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\WINDOWS\PSEXESVC.exe
- TargetFilename: C:\ProgramData\Microsoft\Crypto\RSA\S-1-5-18\88d05cb4fa49aee2efb7ec0a762a098e_50f135f1-ba2f-4355-87ee-19ef5df9733a
- CreationUtcTime: [ファイル作成日時(UTC)]
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Crypto-NCrypt/KeyMgmt |
23 |
Key Management Write Key Task |
Capi1 コンテナーの書き込みが成功しました。
- キー名: [接続先コンピューターアカウント]
- キーファイル名: [文字列]
- ProcessName: [実行ファイル名]
|
| Security |
5145 |
Detailed File Share |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\IPC$
- 共有情報 > 相対ターゲット名: PSEXESVC-[接続元ホスト名]-[実行元プロセスID]-stdin
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes
|
| Microsoft-Windows-Sysmon/Operational |
17 |
Pipe Created |
Pipe Created
- EventType: CreatePipe
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- PipeName: \PSEXESVC-[接続元ホスト名]-[実行元プロセスID]-stdin
- Image: C:\WINDOWS\PSEXESVC.exe
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
18 |
Pipe Connected |
Pipe Connected
- EventType: ConnectPipe
- UtcTime: [発生日時(UTC)]
- PipeName: \PSEXESVC-[接続元ホスト名]-[実行元プロセスID]-stdin
- Image: System
- User: NT AUTHORITY\SYSTEM
|
| Security |
5145 |
Detailed File Share |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\IPC$
- 共有情報 > 相対ターゲット名: PSEXESVC-[接続元ホスト名]-[実行元プロセスID]-stdout
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), ReadEA, ReadAttributes
|
| Security |
5145 |
Detailed File Share |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\IPC$
- 共有情報 > 相対ターゲット名: PSEXESVC-[接続元ホスト名]-[実行元プロセスID]-stderr
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), ReadEA, ReadAttributes
|
| Microsoft-Windows-Sysmon/Operational |
17 |
Pipe Created |
Pipe Created
- EventType: CreatePipe
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- PipeName: \PSEXESVC-[接続元ホスト名]-[実行元プロセスID]-stdout
- Image: C:\WINDOWS\PSEXESVC.exe
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
17 |
Pipe Created |
Pipe Created
- EventType: CreatePipe
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- PipeName: \PSEXESVC-[接続元ホスト名]-[実行元プロセスID]-stderr
- Image: C:\WINDOWS\PSEXESVC.exe
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
17 |
Pipe Created |
Pipe Created
- EventType: CreatePipe
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- PipeName: <Anonymous Pipe>
- Image: C:\WINDOWS\PSEXESVC.exe
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
18 |
Pipe Connected |
Pipe Connected
- EventType: ConnectPipe
- UtcTime: [発生日時(UTC)]
- PipeName: \PSEXESVC-[接続元ホスト名]-[実行元プロセスID]-stdout
- Image: System
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
18 |
Pipe Connected |
Pipe Connected
- EventType: ConnectPipe
- UtcTime: [発生日時(UTC)]
- PipeName: \PSEXESVC-[接続元ホスト名]-[実行元プロセスID]-stderr
- Image: System
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
18 |
Pipe Connected |
Pipe Connected
- EventType: ConnectPipe
- UtcTime: [発生日時(UTC)]
- PipeName: <Anonymous Pipe>
- Image: C:\WINDOWS\PSEXESVC.exe
- User: NT AUTHORITY\SYSTEM
複数回発生 |
| Security |
4703 |
Token Right Adjusted Events |
ユーザー権限が調整されました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- ターゲット アカウント > セキュリティ ID: [実行ユーザーのSID]
- ターゲット アカウント > アカウント名: [ユーザー名]
- ターゲット アカウント > アカウント ドメイン: [ドメイン名]
- ターゲット アカウント > ログオン ID: [ログオンID]
- プロセス情報 > プロセス名: C:\WINDOWS\PSEXESVC.exe
- プロセス情報 > プロセス ID: [実行プロセスID]
- 有効にされた特権: SeBackupPrivilege, SeRestorePrivileg
- 無効にされた特権: -
BackupとRestoreで各2回ずつ発生 |
| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: S-1-5-18
- 作成元サブジェクト > アカウント名: [接続先コンピューターアカウント]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: [リモート実行対象コマンドのパス]
- プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
- プロセス情報 > プロセスのコマンド ライン: [リモート実行対象コマンド]
- プロセス情報 > 作成元プロセス ID: [実行プロセスID]
- プロセス情報 > 作成元プロセス名: C:\Windows\PSEXESVC.exe
ここからリモート実行対象コマンド終了までの動作は指定したプログラムによって異なる。 |
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [リモート実行対象コマンドのパス]
- FileVersion・Description・Product・Company・OriginalFileName: [リモート実行対象ファイルのメタデータ]
- CommandLine: [リモート実行対象コマンド]
- CurrentDirectory: C:\WINDOWS\system32\
- User: [ドメイン名]\[ユーザー名]
- LogonId: [ログオンID]
- IntegrityLevel: High
- Hashes: [ファイルのハッシュ値]
- ParentProcessId: [実行プロセスID]
- ParentImage: C:\Windows\PSEXESVC.exe
- ParentCommandLine: C:\WINDOWS\PSEXESVC.exe
- ParentUser: NT AUTHORITY\SYSTEM
ここからリモート実行対象コマンド終了までの動作は指定したプログラムによって異なる。 |
| Security |
4689 |
Process Termination |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 終了状態: 0x0
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [リモート実行対象コマンドのパス]
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [リモート実行対象コマンドのパス]
- User: [ドメイン名]\[ユーザー名]
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\[リモートコマンド実行ファイル名]-[文字列].pf
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
実行コマンドや権限によっては出ない場合がある。 |
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\[リモートコマンド実行ファイル名]-[文字列].pf
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
実行コマンドや権限によっては出ない場合がある。 |
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4690で複製されたハンドル]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
実行コマンドや権限によっては出ない場合がある。 |
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\svchost.exe
- TargetFilename: C:\Windows\Prefetch\[リモートコマンド実行ファイル名]-[文字列].pf
- CreationUtcTime: [ファイル作成日時(UTC)]
- User: NT AUTHORITY\SYSTEM
実行コマンドや権限によっては出ない場合がある。 |
| Security |
4703 |
Token Right Adjusted Events |
ユーザー権限が調整されました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [接続先コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- ターゲット アカウント > セキュリティ ID: [実行ユーザーのSID]
- ターゲット アカウント > アカウント名: [接続先コンピューターアカウント]
- ターゲット アカウント > アカウント ドメイン: [ドメイン名]
- ターゲット アカウント > ログオン ID: [ログオンID]
- プロセス情報 > プロセス名: C:\Windows\System32\services.exe
- プロセス情報 > プロセス ID: [プロセスID]
- 有効にされた特権: SeBackupPrivilege, SeRestorePrivilege, SeSecurityPrivilege, SeTakeOwnershipPrivilege
- 無効にされた特権: -
|
| Security |
4674 |
Sensitive Privilege Use |
特権のあるオブジェクトで操作が試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: SC Manager
- オブジェクト > オブジェクトの種類: SC_MANAGER OBJECT
- オブジェクト > オブジェクト名: ServicesActive
- 要求された操作 > 特権: SeTakeOwnershipPrivilege
- AccessList: DELETE, READ_CONTROL, WRITE_DAC, サービス コントローラーへの接続, 新しいサービスの作成, サービスの列挙, 排他的アクセスのためのサービス データベースのロック, サービス データベースのロック状態の照会, サービス データベースの前回正常起動時構成の設定
- プロセス情報 > プロセス名: C:\Windows\System32\services.exe
|
| Security |
4674 |
Sensitive Privilege Use |
特権のあるオブジェクトで操作が試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: SC Manager
- オブジェクト > オブジェクトの種類: SERVICE OBJECT
- オブジェクト > オブジェクト名: PSEXESVC
- 要求された操作 > 特権: SeTakeOwnershipPrivilege
- AccessList: DELETE, READ_CONTROL, WRITE_DAC, サービス構成情報の照会, サービス構成情報の設定, サービス ステータスの照会, サービスの依存関係の列挙, サービスの開始, サービスの停止, サービスの一時停止または続行, サービスからの情報の照会, サービス固有の制御コマンドの実行
- プロセス情報 > プロセス名: C:\Windows\System32\services.exe
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\services.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\PSEXESVC\DeleteFlag
- Details: 0x00000001
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\services.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\PSEXESVC\Start
- Details: 0x00000004
- User: NT AUTHORITY\SYSTEM
|
| Security |
4689 |
Process Termination |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: S-1-5-18
- サブジェクト > アカウント名: [接続先コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 終了状態: 0x0
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\PSEXESVC.exe
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\PSEXESVC.exe
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: DeleteKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\services.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\PSEXESVC
- User: NT AUTHORITY\SYSTEM
|
| Security |
5145 |
Detailed File Share |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\ADMIN$
- 共有情報 > 共有パス: \??\C:\WINDOWS
- 共有情報 > 相対ターゲット名: PSEXESVC.exe
- アクセス要求情報 > アクセス: DELETE, ReadAttributes
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4690で複製されたハンドル]
- プロセス情報 > プロセス ID: 0x4
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\PSEXESVC.exe
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: DELETE, ReadAttributes
- プロセス情報 > プロセス ID: 4
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\PSEXESVC.exe
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: DELETE
- プロセス情報 > プロセス ID: 4
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\PSEXESVC.EXE-[ハッシュ値].pf
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\PSEXESVC.EXE-[ハッシュ値].pf
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\svchost.exe
- TargetFilename: C:\Windows\Prefetch\PSEXESVC.EXE-[ハッシュ値].pf
- CreationUtcTime: [ファイル作成日時(UTC)]
- User: NT AUTHORITY\SYSTEM
|
| Security |
5145 |
Detailed File Share |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [送信元ポート番号]
- 共有情報 > 共有名: \\*\ADMIN$
- 共有情報 > 共有パス: \??\C:\WINDOWS
- 共有情報 > 相対ターゲット名: PSEXESVC.exe
- アクセス要求情報 > アクセス: DELETE, ReadAttributes
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\PSEXESVC.exe
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: DELETE, ReadAttributes
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\PSEXESVC.exe
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: DELETE
- プロセス情報 > プロセス ID: 4
|
| Security |
4660 |
File System |
オブジェクトが削除されました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: 0x4
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [ハンドルID]
- プロセス情報 > プロセス ID: 0x4
|
| Microsoft-Windows-Sysmon/Operational |
23 |
File Delete archived |
File Delete archived
- User: NT AUTHORITY\SYSTEM
- Image: System
- TargetFilename: C:\Windows\PSEXESVC.exe
- Hashes: [ファイルのハッシュ値]
- IsExecutable: False
- Archived: True
|
| Security |
4634 |
Logoff |
アカウントがログオフしました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > ログオン ID: [イベント4624で記録されたログオンID]
- ログオン タイプ: 3
|