| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
- プロセス情報 > 作成元プロセス ID: [実行プロセスID]
- プロセス情報 > プロセスのコマンド ライン: [実行ファイルのパス]
- プロセス情報 > 必須ラベル: Mandatory Label\High Mandatory Level
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
- CommandLine: [実行ファイルのパス]
- CurrentDirectory: [作業ディレクトリ]
- User: [ドメイン名]\[ユーザー名]
- LogonId: [ログオンID]
- IntegrityLevel: High
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスID]
- ParentUser: [親プロセスユーザー]
|
| Microsoft-Windows-Sysmon/Operational |
7 |
Image loaded |
Image loaded.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- ImageLoaded: [読み取ったDLLファイルなど]
- FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルなどのメタデータ]
- User: [実行ユーザー]
|
| Security |
4673 |
Sensitive Privilege Use |
特権のあるサービスが呼び出されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [アカウント名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サービス > サーバー: Security
- サービス要求情報 > 特権: SeTcbPrivilege
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: ['READ_CONTROL', 'SYNCHRONIZE', 'ReadData (または ListDirectory)', 'WriteData (または AddFile)', 'AppendData (または AddSubdirectory または CreatePipeInstance)', 'ReadEA', 'WriteEA', 'ReadAttributes', 'WriteAttributes']
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\[検体実行ファイル名]-[文字列].pf
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: ['WriteData (または AddFile)', 'AppendData (または AddSubdirectory または CreatePipeInstance)']
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- Image: C:\WINDOWS\system32\svchost.exe
- TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
- CreationUtcTime: [ファイル作成日時(UTC)]
|
| Security |
4656 |
Kernel Object |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [アカウント名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: Process
- オブジェクト > オブジェクト名: \Device\HarddiskVolume[ボリューム番号]\Windows\System32\lsass.exe
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: プロセス メモリからの読み取り, 未定義のアクセス (影響なし) ビット 12
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4663 |
Kernel Object |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: Process
- オブジェクト > オブジェクト名: \Device\HarddiskVolume[ボリューム番号]\Windows\System32\lsass.exe
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: プロセス メモリからの読み取り
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4658 |
Kernel Object |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed |
Process accessed.
- UtcTime: [発生日時(UTC)]
- SourceProcessId: [アクセス元プロセスID]
- SourceThreadId: [アクセス元スレッドID]
- SourceImage: [実行ファイルのパス]
- TargetProcessId: [アクセス先プロセスID]
- TargetImage: C:\WINDOWS\system32\lsass.exe
- GrantedAccess: 0x1010
|
| Security |
4624 |
Logon |
アカウントが正常にログオンしました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- 新しいログオン > セキュリティ ID: [ログオンユーザーSID]
- 新しいログオン > アカウント名: [ログオンユーザー名]
- 新しいログオン > アカウント名: [ドメイン名]
- 新しいログオン > ログオン ID: [ログオンID]
- ログオン情報 > ログオン タイプ: 9
- 詳細な認証情報 > ログオン プロセス: seclogo
- 詳細な認証情報 > 認証パッケージ: Negotiate
- ネットワーク情報 > ソースワークステーション名: -
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
- ネットワーク情報 > ソース ネットワーク アドレス: ::1
- ネットワーク情報 > ソース ポート: 0
- 偽装レベル: 偽装
- ログオン情報 > 昇格されたトークン: True
|
| Security |
4627 |
Group Membership |
グループ メンバーシップ情報。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- 新しいログオン > セキュリティ ID: [ユーザーSID]
- 新しいログオン > アカウント名: [ユーザー名]
- 新しいログオン > アカウント名: [ドメイン名]
- 新しいログオン > ログオン ID: [ログオンID]
- ログオン タイプ: 9
- シーケンスのイベント(分子): 1
- シーケンスのイベント(分母): 1
- グループ メンバーシップ: Mandatory Label\High Mandatory Level 他
|
| Security |
4672 |
Special Logon |
新しいログオンに特権が割り当てられました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- 特権: SeSecurityPrivilege, SeTakeOwnershipPrivilege, SeLoadDriverPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege
|
| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: S-1-5-18
- 作成元サブジェクト > アカウント名: [コンピューターアカウント]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: C:\Windows\System32\cmd.exe
- プロセス情報 > 作成元プロセス ID: [親プロセスID]
- プロセス情報 > プロセスのコマンド ライン: cmd.exe
- ターゲット サブジェクト > セキュリティ ID: S-1-0-0
- ターゲット サブジェクト > アカウント名: [ユーザー名]
- ターゲット サブジェクト > アカウント ドメイン: [ドメイン名]
- プロセス情報 > 作成元プロセス名: [実行ファイルのパス]
- プロセス情報 > 必須ラベル: Mandatory Label\High Mandatory Level
sekulsa::pth で情報入力し、起動 |
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\cmd.exe
- FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
- CommandLine: C:\Windows\System32\wbem\WMIC.exe
- CurrentDirectory: [作業ディレクトリ]
- User: [ドメイン名]\[ユーザー名]
- LogonId: [ログオンID]
- IntegrityLevel: High
- ParentProcessId: [親プロセスID]
- ParentImage: [実行ファイルのパス]
- ParentCommandLine: [実行ファイルのパス]
- ParentUser: [ドメイン名]\[ユーザー名]
sekulsa::pth で情報入力し、起動 |
| Security |
4656 |
Kernel Object |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: Process
- オブジェクト > オブジェクト名: \Device\HarddiskVolume[ボリューム番号]\Windows\System32\lsass.exe
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: 仮想メモリ操作の実行, プロセス メモリからの読み取り, プロセス メモリへの書き込み, 未定義のアクセス (影響なし) ビット 12
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4663 |
Kernel Object |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: Process
- オブジェクト > オブジェクト名: \Device\HarddiskVolume[ボリューム番号]\Windows\System32\lsass.exe
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: プロセス メモリからの読み取り
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed |
Process accessed.
- UtcTime: [発生日時(UTC)]
- SourceProcessId: [アクセス元プロセスID]
- SourceThreadId: [アクセス元スレッドID]
- SourceImage: [実行ファイルのパス]
- TargetProcessId: [アクセス先プロセスID]
- TargetImage: C:\WINDOWS\system32\lsass.exe
- GrantedAccess: 0x1038
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed |
Process accessed.
- UtcTime: [発生日時(UTC)]
- SourceProcessId: [アクセス元プロセスID]
- SourceThreadId: [アクセス元スレッドID]
- SourceImage: [実行ファイルのパス]
- TargetProcessId: [アクセス先プロセスID]
- TargetImage: C:\Windows\System32\cmd.exe
- GrantedAccess: 0x1fffff
|
| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: C:\Windows\System32\wbem\WMIC.exe
- プロセス情報 > 作成元プロセス ID: [親プロセスID]
- プロセス情報 > プロセスのコマンド ライン: wmic /node:"[接続先ホスト]" os get csname
- ターゲット サブジェクト > セキュリティ ID: S-1-0-0
- ターゲット サブジェクト > アカウント名: -
- ターゲット サブジェクト > アカウント ドメイン: -
- プロセス情報 > 作成元プロセス名: C:\Windows\System32\cmd.exe
取得した権限を用いて他ホストに対してwmicを実行。 |
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\wbem\WMIC.exe
- FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
- CommandLine: wmic /node:"[接続先ホスト]" os get csname
- CurrentDirectory: [作業ディレクトリ]
- User: [ドメイン名]\[ユーザー名]
- LogonId: [ログオンID]
- IntegrityLevel: High
- ParentProcessId: [親プロセスID]
- ParentImage: C:\Windows\System32\cmd.exe
- ParentCommandLine: cmd.exe
- ParentUser: [ドメイン名]\[ユーザー名]
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: \device\HarddiskVolume[ボリューム番号]\windows\system32\svchost.exe
- ネットワーク情報 > ソース ポート: バインドされるローカルポート
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: \device\HarddiskVolume[ボリューム番号]\windows\system32\svchost.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 135
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\svchost.exe
- User: NT AUTHORITY\NETWORK SERVICE
- Protocol: tcp
- Initiated: true
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 135
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: \device\HarddiskVolume[ボリューム番号]\windows\system32\wbem\wmic.exe
- ネットワーク情報 > ソース ポート: [バインドされるローカルポート]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: \device\HarddiskVolume[ボリューム番号]\windows\system32\wbem\wmic.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: [接続先ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\wbem\WMIC.exe
- User: 実行ユーザー
- Protocol: tcp
- Initiated: true
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: [接続先ポート番号]
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: \device\HarddiskVolume[ボリューム番号]\windows\system32\lsass.exe
- ネットワーク情報 > ソース ポート: [バインドされるローカルポート]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: \device\HarddiskVolume[ボリューム番号]\windows\system32\lsass.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [ドメインコントローラーIPアドレス]
- ネットワーク情報 > 宛先ポート: 88
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\lsass.exe
- User: 実行ユーザー
- Protocol: tcp
- Initiated: true
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [ドメインコントローラーIPアドレス]
- DestinationHostname: [ドメインコントローラーホスト名]
- DestinationPort: 88
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed |
Process accessed.
- UtcTime: [発生日時(UTC)]
- SourceProcessId: [アクセス元プロセスID]
- SourceThreadId: [アクセス元スレッドID]
- SourceImage: C:\WINDOWS\system32\lsass.exe
- TargetProcessId: [アクセス先プロセスID]
- TargetImage: C:\WINDOWS\System32\Wbem\WMIC.exe
- GrantedAccess: 0x1000
|
| Security |
4689 |
Process Termination |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- プロセス情報 > 終了状態: 0x0
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\wbem\WMIC.exe
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\wbem\WMIC.exe
- User: [ドメイン名]\[ユーザー名]
|
| Security |
4689 |
Process Termination |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- プロセス情報 > 終了状態: 0x0
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\cmd.exe
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\cmd.exe
- User: [ドメイン名]\[ユーザー名]
|
| Security |
4689 |
Process Termination |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- プロセス情報 > 終了状態: 0x0
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- User: [ドメイン名]\[ユーザー名]
|