| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- CommandLine: [実行ファイルのパス]
- CurrentDirectory: [作業ディレクトリ]
- User: [実行ユーザー]
- LogonId: [ログオンセッションのID]
- IntegrityLevel: High
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスのプロセスID]
- ParentImage: [親プロセスの実行ファイル]
- ParentCommandLine: [親プロセスのコマンドライン]
|
| Security |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- プロセス情報 > 新しいプロセス ID: [実行プロセスID]
- プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
- プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
- プロセス情報 > 作成元プロセス ID: [新プロセスを作成した親プロセスのプロセスID]
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\Type
- Details: DWORD (0x00000010)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\Start
- Details: DWORD (0x00000003)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\ErrorControl
- Details: DWORD (0x00000000)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\ImagePath
- Details: [実行ファイルのパス] -S
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\DisplayName
- Details: WCESERVICE
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\ObjectName
- Details: LocalSystem
|
| System |
7045 |
サービスがシステムにインストールされました |
サービスがインストールされました。
- サービス名: WCESERVICE
- サービスファイル名: [実行ファイル名] -S
- サービスの種類: ユーザーモードサービス
- サービス開始の種類: 要求による開始
- サービスアカウント: LocalSystem
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- CommandLine: [実行ファイルのパス] -S
- CurrentDirectory: [作業ディレクトリ]
- User: [実行ユーザー]
- LogonId: [ログオンセッションのID]
- IntegrityLevel: System
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスのプロセスID]
- ParentImage: C:\Windows\System32\services.exe
- ParentCommandLine: C:\Windows\System32\services.exe
|
| Security |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- プロセス情報 > 新しいプロセス ID: [実行プロセスID]
- プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
- プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
- プロセス情報 > 作成元プロセス ID: [新プロセスを作成した親プロセスのプロセスID]
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed |
Process accessed.
- SourceProcessId: [アクセス元プロセスID]
- SourceThreadId: [アクセス元スレッドID]
- SourceImage: C:\Windows\system32\services.exe
- TargetProcessId: [アクセス先プロセスID]
- TargetImage: [実行ファイルのパス]
- GrantedAccess: 0x1410
|
| System |
7036 |
Service Control Manager |
[サービス名] サービスは [状態] に移行しました。
- サービス名: WCESERVICE
- 状態: 実行中
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- TargetFilename: C:\Windows\Temp\wceaux.dll
- CreationUtcTime: [ファイル作成日時(UTC)]
|
| Security |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Temp\wceaux.dll
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFileを含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Temp\wceaux.dll
- オブジェクト > ハンドル ID: [イベントID: 4656で取得されたハンドルID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > ハンドル ID: [イベントID: 4656で取得されたハンドルID]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed |
Process accessed.
- SourceProcessId: [アクセス元プロセスID]
- SourceThreadId: [アクセス元スレッドID]
- SourceImage: [実行ファイルのパス]
- TargetProcessId: [アクセス先プロセスID]
- TargetImage: C:\Windows\system32\lsass.exe
- GrantedAccess: [許可されたアクセスの内容]
|
| Microsoft-Windows-Sysmon/Operational |
8 |
CreateRemoteThread detected |
CreateRemoteThread detected
- UtcTime: [発生日時(UTC)]
- SourceProcessId: [作成元プロセスID]
- SourceImage: [実行ファイルのパス]
- TargeProcessId: [作成先プロセスID]
- TargetImage: C:\Windows\System32\lsass.exe
- NewThreadId: [新規スレッドのスレッドID]
|
| Security |
4673 |
A privileged service was called |
特権のあるサービスが呼び出されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- サービス要求情報 > 特権: SeTcbPrivilege
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe
|
| Security |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Temp\wceaux.dll
- オブジェクト > ハンドル ID: 0x0
- アクセス要求情報 > アクセス: DELETEを含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Temp\wceaux.dll
- オブジェクト > ハンドル ID: [イベントID: 4656で取得されたハンドルID]
- アクセス要求情報 > アクセス: DELETE
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4660 |
ファイル システム |
オブジェクトが削除されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- ObjectName: [対象のファイル名]
- オブジェクト > ハンドル ID: [イベントID: 4656で取得されたハンドルID]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > ハンドル ID: [イベントID: 4656で取得されたハンドルID]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [プロセス終了日時 (UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
|
| Security |
4689 |
プロセス終了 |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- プロセス情報 > 終了状態: 0x0
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| System |
7036 |
Service Control Manager |
[サービス名] サービスは [状態] に移行しました。
- サービス名: WCESERVICE
- 状態: 実行中
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\DeleteFlag
- Details: DWORD (0x00000001)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\Start
- Details: DWORD (0x00000004)
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [プロセス終了日時 (UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
|
| Security |
4689 |
プロセス終了 |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- プロセス情報 > 終了状態: 0x0
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: DeleteKey
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\svchost.exe
- TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
- CreationUtcTime: [ファイル作成日時(UTC)]
|
| Security |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendDataを含む
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
- オブジェクト > ハンドル ID: [イベントID: 4656で取得されたハンドルID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendDataを含む
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > ハンドル ID: [イベントID: 4656で取得されたハンドルID]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- CommandLine: [実行ファイルのパス] -s [ユーザー名]:[ドメイン]:[ハッシュ] -c [実行コマンド]
- CurrentDirectory: [作業ディレクトリ]
- User: [実行ユーザー]
- LogonId: [ログオンセッションのID]
- IntegrityLevel: High
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスのプロセスID]
- ParentImage: [親プロセスの実行ファイル]
- ParentCommandLine: [親プロセスのコマンドライン]
|
| Security |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- プロセス情報 > 新しいプロセス ID: [実行プロセスID]
- プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
- プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
- プロセス情報 > 作成元プロセス ID: [新プロセスを作成した親プロセスのプロセスID]
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\wbem\WMIC.exe
- CommandLine: wmic.exe
- CurrentDirectory: [作業ディレクトリ]
- User: [実行ユーザー]
- LogonId: [ログオンセッションのID]
- IntegrityLevel: High
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [実行プロセスID]
- ParentImage: [実行ファイルのパス]
- ParentCommandLine: [実行ファイルのパス] -s [ユーザー名]:[ドメイン]:[ハッシュ] -c [実行コマンド]
|
| Security |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- プロセス情報 > 新しいプロセス ID: [プロセスID]
- プロセス情報 > 新しいプロセス名: C:\Windows\System32\wbem\WMIC.exe
- プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
- プロセス情報 > 作成元プロセス ID: [新プロセスを作成した親プロセスのプロセスID]
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\Type
- Details: DWORD (0x00000010)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\Start
- Details: DWORD (0x00000003)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\ErrorControl
- Details: DWORD (0x00000000)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\ImagePath
- Details: [実行ファイルのパス] -S
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\DisplayName
- Details: WCESERVICE
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\ObjectName
- Details: LocalSystem
|
| System |
7045 |
サービスがシステムにインストールされました |
サービスがインストールされました。
- サービス名: WCESERVICE
- サービスファイル名: [実行ファイル名] -S
- サービスの種類: ユーザーモードサービス
- サービス開始の種類: 要求による開始
- サービスアカウント: LocalSystem
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- CommandLine: [実行ファイルのパス] -S
- CurrentDirectory: [作業ディレクトリ]
- User: [実行ユーザー]
- LogonId: [ログオンセッションのID]
- IntegrityLevel: System
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスのプロセスID]
- ParentImage: C:\Windows\System32\services.exe
- ParentCommandLine: C:\Windows\System32\services.exe
|
| Security |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- プロセス情報 > 新しいプロセス ID: [実行プロセスID]
- プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
- プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
- プロセス情報 > 作成元プロセス ID: [新プロセスを作成した親プロセスのプロセスID]
|
| System |
7036 |
Service Control Manager |
[サービス名] サービスは [状態] に移行しました。
- サービス名: WCESERVICE
- 状態: 実行中
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- TargetFilename: C:\Windows\Temp\wceaux.dll
- CreationUtcTime: [ファイル作成日時(UTC)]
|
| Security |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Temp\wceaux.dll
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFileを含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Temp\wceaux.dll
- オブジェクト > ハンドル ID: [イベントID: 4656で取得されたハンドルID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > ハンドル ID: [イベントID: 4656で取得されたハンドルID]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed |
Process accessed.
- SourceProcessId: [アクセス元プロセスID]
- SourceThreadId: [アクセス元スレッドID]
- SourceImage: [実行ファイルのパス]
- TargetProcessId: [アクセス先プロセスID]
- TargetImage: C:\Windows\system32\lsass.exe
- GrantedAccess: [許可されたアクセスの内容]
|
| Microsoft-Windows-Sysmon/Operational |
8 |
CreateRemoteThread detected |
CreateRemoteThread detected
- UtcTime: [発生日時(UTC)]
- SourceProcessId: [作成元プロセスID]
- SourceImage: [実行ファイルのパス]
- TargeProcessId: [作成先プロセスID]
- TargetImage: C:\Windows\System32\lsass.exe
- NewThreadId: [新規スレッドのスレッドID]
|
| Security |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Temp\wceaux.dll
- オブジェクト > ハンドル ID: 0x0
- アクセス要求情報 > アクセス: DELETEを含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Temp\wceaux.dll
- オブジェクト > ハンドル ID: [イベントID: 4656で取得されたハンドルID]
- アクセス要求情報 > アクセス: DELETE
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4660 |
ファイル システム |
オブジェクトが削除されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- ObjectName: [対象のファイル名]
- オブジェクト > ハンドル ID: [イベントID: 4656で取得されたハンドルID]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > ハンドル ID: [イベントID: 4656で取得されたハンドルID]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [プロセス終了日時 (UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
|
| Security |
4689 |
プロセス終了 |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- プロセス情報 > 終了状態: 0x0
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| System |
7036 |
Service Control Manager |
[サービス名] サービスは [状態] に移行しました。
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\DeleteFlag
- Details: DWORD (0x00000001)
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\Start
- Details: DWORD (0x00000004)
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: DeleteKey
- ProcessId: [プロセスID]
- Image: C:\Windows\system32\services.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [プロセス終了日時 (UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
|
| Security |
4689 |
プロセス終了 |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- プロセス情報 > 終了状態: 0x0
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\svchost.exe
- TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
- CreationUtcTime: [ファイル作成日時(UTC)]
|
| Security |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendDataを含む
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
- オブジェクト > ハンドル ID: [イベントID: 4656で取得されたハンドルID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendDataを含む
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- オブジェクト > ハンドル ID: [イベントID: 4656で取得されたハンドルID]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\svchost.exe
- User: [実行ユーザー]
- Protocol: tcp
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 135
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\svchost.exe
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\svchost.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 135
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\svchost.exe
- User: [実行ユーザー]
- Protocol: tcp
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 135
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\svchost.exe
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\svchost.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 88
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\svchost.exe
- User: [実行ユーザー]
- Protocol: tcp
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 135
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\svchost.exe
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\svchost.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 88
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\wbem\WMIC.exe
- User: [実行ユーザー]
- Protocol: tcp
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [ドメインコントローラーIPアドレス]
- DestinationHostname: [ドメインコントローラーホスト名]
- DestinationPort: [ドメインコントローラーポート番号]
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\wbem\wmic.exe
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\wbem\wmic.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [ドメインコントローラーIPアドレス]
- ネットワーク情報 > 宛先ポート: [ドメインコントローラーポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\svchost.exe
- User: [実行ユーザー]
- Protocol: tcp
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [ドメインコントローラーIPアドレス]
- DestinationHostname: [ドメインコントローラーホスト名]
- DestinationPort: 135
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\svchost.exe
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\svchost.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [ドメインコントローラーIPアドレス]
- ネットワーク情報 > 宛先ポート: 88
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [プロセス終了日時 (UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\wbem\WMIC.exe
|
| Security |
4689 |
プロセス終了 |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [プロセスを実行したユーザーのセッションID]
- プロセス情報 > 終了状態: 0xC000013A
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\wbem\WMIC.exe
|