WCE (リモートログイン)

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
Pass-the-hash / Pass-the-ticket
説明
取得したパスワードハッシュを利用し、リモートホストでコマンドを実行する。
攻撃時における想定利用例
管理者ユーザーのパスワードハッシュを利用し、リモートホストでコマンドを実行する。

- ツール動作概要

項目 接続元 接続先 ドメインコントローラー
通信プロトコル 88/tcp, 135/tcp, ランダムな5桁ポート(WMIC)
ドメインへの所属
サービス Workstation
OS Windows
権限 ローカルの管理者ユーザー

- ログから得られる情報

標準設定
  • 接続元
    • 実行履歴 (Prefetch)
    • WCESERVICEのインストールおよび実行 (システム ログ)
  • ドメインコントローラー
    • NTLM認証の成功 (監査ポリシー)
追加設定
  • 接続元
    • 実行履歴 (監査ポリシー, Sysmon)
    • ネットワーク接続 (監査ポリシー, Sysmon)
    • C:\Windows\Temp\wceaux.dllの作成および削除 (監査ポリシー, USNジャーナル)
  • 接続先
    • 実行履歴 (監査ポリシー, Sysmon)
    • ネットワーク接続 (監査ポリシー, Sysmon)
    • リモートからのログイン (監査ポリシー)

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • CommandLine: 実行コマンドのコマンドライン (検体のパス)
  • User: 実行ユーザー
2 システム 7045 サービスがシステムにインストールされました サービスがインストールされました。
  • サービス名: サービス一覧に表示される名前 (WCESERVICE)
  • サービス ファイル名: サービス実行ファイル ([検体の実行ファイル名] -S)
  • サービスの種類: 実行されるサービスの種類 (ユーザー モード サービス)
  • サービス開始の種類: サービスを開始するトリガの動作 (要求による開始)
  • サービス アカウント: 実行するアカウント (LocalSystem)
3 システム 7036 Service Control Manager [サービス名] サービスは [状態] に移行しました。
  • サービス名: 対象のサービス名 (WCESERVICE)
  • 状態: 移行後の状態 (実行中)
4 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Temp\wceaux.dll)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile)
5 Microsoft-Windows-Sysmon/Operational 8 CreateRemoteThread detected (rule: CreateRemoteThread) CreateRemoteThread detected.
  • UtcTime: 実行日時 (UTC)
  • SourceProcessGuid/SourceProcessId: 作成元プロセスのプロセスID
  • SourceImage: 作成元プロセスのパス(検体のパス)
  • TargetProcessGuid/TargetProcessId: 作成先プロセスのプロセスID
  • TargetImage: 作成先プロセスのパス (C:\Windows\System32\lsass.exe)
  • NewThreadId: 新規スレッドのスレッドID
6 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Temp\wceaux.dll)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
7 システム 7036 Service Control Manager [サービス名] サービスは [状態] に移行しました。
  • サービス名: 対象のサービス名 (WCESERVICE)
  • 状態: 移行後の状態 (停止)
8 Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\DeleteFlag)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000001)
9 セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
10 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • CommandLine: 実行コマンドのコマンドライン ([検体のパス] -s [ユーザー名]:[ドメイン]:[ハッシュ] -c [実行コマンド])
  • User: 実行ユーザー
11 システム 7045 サービスがシステムにインストールされました サービスがインストールされました。
  • サービス名: サービス一覧に表示される名前 (WCESERVICE)
  • サービス ファイル名: サービス実行ファイル ([検体の実行ファイル名] -S)
  • サービスの種類: 実行されるサービスの種類 (ユーザー モード サービス)
  • サービス開始の種類: サービスを開始するトリガの動作 (要求による開始)
  • サービス アカウント: 実行するアカウント (LocalSystem)
12 システム 7036 Service Control Manager [サービス名] サービスは [状態] に移行しました。
  • サービス名: 対象のサービス名 (WCESERVICE)
  • 状態: 移行後の状態 (実行中)
13 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Temp\wceaux.dll)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile)
14 Microsoft-Windows-Sysmon/Operational 8 CreateRemoteThread detected (rule: CreateRemoteThread) CreateRemoteThread detected.
  • UtcTime: 実行日時 (UTC)
  • SourceProcessGuid/SourceProcessId: 作成元プロセスのプロセスID
  • SourceImage: 作成元プロセスのパス(検体のパス)
  • TargetProcessGuid/TargetProcessId: 作成先プロセスのプロセスID
  • TargetImage: 作成先プロセスのパス (C:\Windows\System32\lsass.exe)
  • NewThreadId: 新規スレッドのスレッドID
15 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Temp\wceaux.dll)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
16 システム 7036 Service Control Manager [サービス名] サービスは [状態] に移行しました。
  • サービス名: 対象のサービス名 (WCESERVICE)
  • 状態: 移行後の状態 (停止)
17 Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\DeleteFlag)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000001)
18 セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)

Prefetch

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (接続先 ポート135)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (接続元)
2 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (接続先)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (ドメインコントローラー ポート135)
3 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名 (接続元ホスト名)
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス (接続元IPアドレス)
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (NtLmSsp)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (NTLM)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン (NTLM V2)
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (128)
4 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create. 指定されたプログラムが実行される。
  • UtcTime: プロセス実行日時 (UTC)
  • Image: 実行ファイルのパス (C:\Windows\System32\wbem\WmiPrvSE.exe)
  • CommandLine: 実行コマンドのコマンドライン (C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding)
  • User: 実行ユーザー
5 セキュリティ 4634 ログオフ アカウントがログオフしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • ログオン タイプ: ログオンの経路・方式など (3=ネットワーク)

- ドメインコントローラー

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (ドメインコントローラー ポート88)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (接続元)
2 セキュリティ 4771 Kerberos 認証サービス Kerberos事前認証に失敗しました。
  • アカウント情報 > セキュリティID: アカウントのSID
  • アカウント情報 > アカウント名: 対象のアカウント名
  • サービス情報 > サービス名: 対象のサービス名 (krbtgt/[ドメイン名])
  • ネットワーク情報 > クライアント アドレス: ログインを試みたクライアントのIPアドレス (接続元IPアドレス)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x40810010)
  • 追加情報 > エラー コード: チケットの処理結果 (0x18)
  • 追加情報 > 事前認証の種類: 事前認証の種類 (2)
3 セキュリティ 4776 資格情報の確認 コンピューターがアカウントの資格情報の確認を試行しました。
  • 認証パッケージ: 認証に使用されたパッケージ (MICROSOFT_AUTHENTICATION_PACKAGE_V1_0)
  • ログオン アカウント: 使用されたアカウント
  • ソース ワークステーション: アカウントの確認を要求したホスト (接続元ホスト)
  • エラー コード: 実行結果 (0x0)

- 詳細:接続元

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • CommandLine: 実行コマンドのコマンドライン (検体のパス)
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (High)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体の実行ファイル名)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • ログの日時: プロセス実行日時 (ローカル時刻)
2 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\Type)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000010)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\Start)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000003)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\ErrorControl)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000000)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\ImagePath)
  • Details: レジストリに書き込まれた設定値 ([検体のパス] -S)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\DisplayName)
  • Details: レジストリに書き込まれた設定値 (WCESERVICE)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\ObjectName)
  • Details: レジストリに書き込まれた設定値 (LocalSystem)
3 システム 7045 サービスがシステムにインストールされました サービスがインストールされました。
  • サービス名: サービス一覧に表示される名前 (WCESERVICE)
  • サービス ファイル名: サービス実行ファイル ([検体の実行ファイル名] -S)
  • サービスの種類: 実行されるサービスの種類 (ユーザー モード サービス)
  • サービス開始の種類: サービスを開始するトリガの動作 (要求による開始)
  • サービス アカウント: 実行するアカウント (LocalSystem)
4 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • CommandLine: 実行コマンドのコマンドライン ([検体のパス] -S)
  • CurrentDirectory: 作業ディレクトリ (C:\Windows\system32\)
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (System)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\services.exe)
  • ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\system32\services.exe)
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • ログの日時: プロセス実行日時 (ローカル時刻)
5 Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (C:\Windows\system32\services.exe)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (検体のパス)
  • GrantedAccess: 許可されたアクセスの内容 (0x1410)
システム 7036 Service Control Manager [サービス名] サービスは [状態] に移行しました。
  • サービス名: 対象のサービス名 (WCESERVICE)
  • 状態: 移行後の状態 (実行中)
6 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • TargetFilename: 作成されたファイル (C:\Windows\Temp\wceaux.dll)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Temp\wceaux.dll)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFileを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Temp\wceaux.dll)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
7 Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (検体のパス)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\lsass.exe)
  • GrantedAccess: 許可されたアクセスの内容
Microsoft-Windows-Sysmon/Operational 8 CreateRemoteThread detected (rule: CreateRemoteThread) CreateRemoteThread detected.
  • UtcTime: 実行日時 (UTC)
  • SourceProcessGuid/SourceProcessId: 作成元プロセスのプロセスID
  • SourceImage: 作成元プロセスのパス(検体のパス)
  • TargetProcessGuid/TargetProcessId: 作成先プロセスのプロセスID
  • TargetImage: 作成先プロセスのパス (C:\Windows\System32\lsass.exe)
  • NewThreadId: 新規スレッドのスレッドID
セキュリティ 4673 重要な特権の使用 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス > プロセス名: 特権を使用したプロセス (C:\Windows\System32\lsass.exe)
  • プロセス > プロセスID: 特権を使用したプロセスのプロセスID
  • サービス要求情報 > 特権: 使用された特権 (SeTcbPrivilege)
8 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Temp\wceaux.dll)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (0x0)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETEを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Temp\wceaux.dll)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4660 ファイル システム オブジェクトが削除されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
9 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
10 システム 7036 Service Control Manager [サービス名] サービスは [状態] に移行しました。
  • サービス名: 対象のサービス名 (WCESERVICE)
  • 状態: 移行後の状態 (停止)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\DeleteFlag)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000001)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\Start)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000004)
11 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (DeleteKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE)
12 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • TargetFilename: 作成されたファイル (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
13 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • CommandLine: 実行コマンドのコマンドライン ([検体のパス] -s [ユーザー名]:[ドメイン]:[ハッシュ] -c [実行コマンド])
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (High)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • ログの日時: プロセス実行日時 (ローカル時刻)
14 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\wbem\WMIC.exe)
  • CommandLine: 実行コマンドのコマンドライン (wmic.exe)
  • CurrentDirectory: 作業ディレクトリ (C:\Windows\system32\)
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (High)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (検体のパス)
  • ParentCommandLine: 親プロセスのコマンドライン ([検体のパス] -s [ユーザー名]:[ドメイン]:[ハッシュ] -c [実行コマンド])
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\wbem\WMIC.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • ログの日時: プロセス実行日時 (ローカル時刻)
15 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\Type)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000010)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\Start)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000003)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\ErrorControl)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000000)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\ImagePath)
  • Details: レジストリに書き込まれた設定値 ([検体のパス] -S)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\DisplayName)
  • Details: レジストリに書き込まれた設定値 (WCESERVICE)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\ObjectName)
  • Details: レジストリに書き込まれた設定値 (LocalSystem)
16 システム 7045 サービスがシステムにインストールされました サービスがインストールされました。
  • サービス名: サービス一覧に表示される名前 (WCESERVICE)
  • サービス ファイル名: サービス実行ファイル ([検体の実行ファイル名] -S)
  • サービスの種類: 実行されるサービスの種類 (ユーザー モード サービス)
  • サービス開始の種類: サービスを開始するトリガの動作 (要求による開始)
  • サービス アカウント: 実行するアカウント (LocalSystem)
17 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • CommandLine: 実行コマンドのコマンドライン ([検体のパス] -S)
  • CurrentDirectory: 作業ディレクトリ (C:\Windows\system32\)
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (System)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\services.exe)
  • ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\system32\services.exe)
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • ログの日時: プロセス実行日時 (ローカル時刻)
18 システム 7036 Service Control Manager [サービス名] サービスは [状態] に移行しました。
  • サービス名: 対象のサービス名 (WCESERVICE)
  • 状態: 移行後の状態 (実行中)
19 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
  • TargetFilename: 作成されたファイル (C:\Windows\Temp\wceaux.dll)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Temp\wceaux.dll)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFileを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Temp\wceaux.dll)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
20 Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (検体のパス)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\lsass.exe)
  • GrantedAccess: 許可されたアクセスの内容
Microsoft-Windows-Sysmon/Operational 8 CreateRemoteThread detected (rule: CreateRemoteThread) CreateRemoteThread detected.
  • UtcTime: 実行日時 (UTC)
  • SourceProcessGuid/SourceProcessId: 作成元プロセスのプロセスID
  • SourceImage: 作成元プロセスのパス(検体のパス)
  • TargetProcessGuid/TargetProcessId: 作成先プロセスのプロセスID
  • TargetImage: 作成先プロセスのパス (C:\Windows\System32\lsass.exe)
  • NewThreadId: 新規スレッドのスレッドID
21 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Temp\wceaux.dll)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (0x0)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETEを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Temp\wceaux.dll)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4660 ファイル システム オブジェクトが削除されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス)
  • アクセス要求情報 > アクセス: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
22 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
23 システム 7036 Service Control Manager [サービス名] サービスは [状態] に移行しました。
  • サービス名: 対象のサービス名 (WCESERVICE)
  • 状態: 移行後の状態 (停止)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\DeleteFlag)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000001)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE\Start)
  • Details: レジストリに書き込まれた設定値 (DWORD:0x00000004)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (DeleteKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\services.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\WCESERVICE)
24 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (検体のパス)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
25 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • TargetFilename: 作成されたファイル (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
26 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (135)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (135)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
27 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (135)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
28 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (135)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
29 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\wbem\WMIC.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\wbem\wmic.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\wbem\wmic.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
30 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (135)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
31 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\wbem\WMIC.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\wbem\WMIC.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0xC000013A)

- MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf FILE ALLOCATED

- Prefetch

# Prefetchファイル プロセス名 プロセスパス ログから得られる情報
1 C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf [検体の実行ファイル名]-[文字列].pf [検体のパス] Last Run Time (最終実行日時)

- USNジャーナル

# ファイル名 処理 属性
1 [検体の実行ファイル名]-[文字列].pf FILE_CREATE archive+not_indexed
[検体の実行ファイル名]-[文字列].pf DATA_EXTEND+FILE_CREATE archive+not_indexed
[検体の実行ファイル名]-[文字列].pf CLOSE+DATA_EXTEND+FILE_CREATE archive+not_indexed
2 [検体の実行ファイル名]-[文字列].pf DATA_TRUNCATION archive+not_indexed
[検体の実行ファイル名]-[文字列].pf DATA_EXTEND+DATA_TRUNCATION archive+not_indexed
[検体の実行ファイル名]-[文字列].pf CLOSE+DATA_EXTEND+DATA_TRUNCATION archive+not_indexed
3 wceaux.dll FILE_CREATE archive
wceaux.dll DATA_EXTEND+FILE_CREATE archive
wceaux.dll CLOSE+DATA_EXTEND+FILE_CREATE archive
wceaux.dll DATA_OVERWRITE archive
wceaux.dll CLOSE+DATA_OVERWRITE+DELETE archive
4 [検体の実行ファイル名]-[文字列].pf DATA_TRUNCATION archive+not_indexed
[検体の実行ファイル名]-[文字列].pf DATA_EXTEND+DATA_TRUNCATION archive+not_indexed
[検体の実行ファイル名]-[文字列].pf CLOSE+DATA_EXTEND+DATA_TRUNCATION archive+not_indexed
5 [検体の実行ファイル名]-[文字列].pf DATA_TRUNCATION archive+not_indexed
[検体の実行ファイル名]-[文字列].pf DATA_EXTEND+DATA_TRUNCATION archive+not_indexed
[検体の実行ファイル名]-[文字列].pf CLOSE+DATA_EXTEND+DATA_TRUNCATION archive+not_indexed

- 詳細:接続先

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (135)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (135)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
2 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (135)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (135)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
3 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
4 セキュリティ 4672 特殊なログオン 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • 特権: 割り当てられた特権 (SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege)
セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名 (接続元ホスト名)
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス (接続元IPアドレス)
  • ネットワーク情報 > ソース ポート: 接続元ポート番号 (ハイポート)
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (NtLmSsp)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (NTLM)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン (NTLM V2)
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (128)
5 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
6 セキュリティ 4672 特殊なログオン 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • 特権: 割り当てられた特権 (SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege)
セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名 (接続元ホスト名)
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス (接続元IPアドレス)
  • ネットワーク情報 > ソース ポート: 接続元ポート番号 (ハイポート)
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (NtLmSsp)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (NTLM)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン (NTLM V2)
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (128)
7 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\wbem\WmiPrvSE.exe)
  • CommandLine: 実行コマンドのコマンドライン (C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding)
  • CurrentDirectory: 作業ディレクトリ (C:\Windows\system32\)
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (System)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\svchost.exe)
  • ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\system32\svchost.exe -k DcomLaunch)
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\wbem\WmiPrvSE.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否 (Mandatory Label\System Mandatory Level)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス (C:\Windows\System32\svchost.exe)
  • ログの日時: プロセス実行日時 (ローカル時刻)
8 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\WMIPRVSE.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\WMIPRVSE.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
9 セキュリティ 4634 ログオフ アカウントがログオフしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオン タイプ: ログオンの経路・方式など (3=ネットワーク)

- 詳細:ドメインコントローラー

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (88)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (88)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
2 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (88)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (88)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
3 セキュリティ 4771 Kerberos 認証サービス Kerberos事前認証に失敗しました。
  • アカウント情報 > セキュリティID: アカウントのSID
  • アカウント情報 > アカウント名: 対象のアカウント名
  • サービス情報 > サービス名: 対象のサービス名 (krbtgt/[ドメイン名])
  • ネットワーク情報 > クライアント アドレス: ログインを試みたクライアントのIPアドレス (接続元IPアドレス)
  • ネットワーク情報 > クライアント ポート: チケット要求の送信元ポート番号 (ハイポート)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x40810010)
  • 追加情報 > エラー コード: チケットの処理結果 (0x18)
  • 追加情報 > 事前認証の種類: 事前認証の種類 (2)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (135)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (135)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
5 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
6 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (88)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (88)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
7 セキュリティ 4771 Kerberos 認証サービス Kerberos事前認証に失敗しました。
  • アカウント情報 > セキュリティID: アカウントのSID
  • アカウント情報 > アカウント名: 対象のアカウント名
  • サービス情報 > サービス名: 対象のサービス名 (krbtgt/[ドメイン名])
  • ネットワーク情報 > クライアント アドレス: ログインを試みたクライアントのIPアドレス (接続元IPアドレス)
  • ネットワーク情報 > クライアント ポート: チケット要求の送信元ポート番号 (ハイポート)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x40810010)
  • 追加情報 > エラー コード: チケットの処理結果 (0x18)
  • 追加情報 > 事前認証の種類: 事前認証の種類 (2)
セキュリティ 4776 資格情報の確認 コンピューターがアカウントの資格情報の確認を試行しました。
  • 認証パッケージ: 認証に使用されたパッケージ (MICROSOFT_AUTHENTICATION_PACKAGE_V1_0)
  • ログオン アカウント: 使用されたアカウント
  • ソース ワークステーション: アカウントの確認を要求したホスト (接続元ホスト)
  • エラー コード: 実行結果 (0x0)