SharpHound

項目	接続元	接続先
通信プロトコル	135/tcp 445/tcp 88/tcp 389/tcp 636/tcp 3268/tcp 3269/tcp	135/tcp 445/tcp 88/tcp 389/tcp 636/tcp 3268/tcp 3269/tcp
権限	標準ユーザー	標準ユーザー
ドメインへの所属	要	要
サービス	-	Active Directory Domain Services
OS	Windows	Windows Server
備考	ドメインユーザーが持つ権限によって取得する情報に差異が出る。3268/tcp, 3269/tcpはグローバルカタログ（Global Catalog, GC）へのアクセスに使用され、ドメイン管理者でのみ通信が発生する。	ドメインユーザーが持つ権限によって取得する情報に差異が出る。3268/tcp, 3269/tcpはグローバルカタログ（Global Catalog, GC）へのアクセスに使用され、ドメイン管理者でのみ通信が発生する。

環境	動作可否
Windows 7 + Windows Server 2012	未確認
Windows 10 + Windows Server 2012	未確認
Windows 11 + Windows Server 2025	動作する

#	パス	ヘッダフラグ	備考
1	.[実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_BloodHound.zip	FILE
2	.[実行ファイルのフォルダパス]\[文字列].bin	FILE

#	ファイル名	処理
1	[実行日時yyyyMMDDhhmmss]_computers.json	CREATE CREATE\|EXTEND\|CLOSE
2	[実行日時yyyyMMDDhhmmss]_users.json	CREATE CREATE\|EXTEND\|CLOSE
3	[実行日時yyyyMMDDhhmmss]_groups.json	CREATE CREATE\|EXTEND CREATE\|EXTEND\|CLOSE
4	[実行日時yyyyMMDDhhmmss]_domains.json	CREATE CREATE\|EXTEND\|CLOSE
5	[実行日時yyyyMMDDhhmmss]_gpos.json	CREATE CREATE\|EXTEND\|CLOSE
6	[実行日時yyyyMMDDhhmmss]_ous.json	CREATE CREATE\|EXTEND\|CLOSE
7	[実行日時yyyyMMDDhhmmss]_containers.json	CREATE CREATE\|EXTEND CREATE\|EXTEND\|CLOSE
8	[実行日時yyyyMMDDhhmmss]_BloodHound.zip	CREATE\|EXTEND\|OVERWRITE\|CLOSE
9	[文字列].bin	CREATE\|EXTEND\|CLOSE
10	[実行ファイル名]-[ハッシュ値].pf	CREATE\|EXTEND\|CLOSE
11	Microsoft.Extensions.Logging.Abstractions, Version=[バージョン番号], Culture=neutral, PublicKeyToken=[文字列]	CREATE\|CLOSE
12	Microsoft.Extensions.Logging.Abstractions, Culture=neutral, PublicKeyToken=[文字列]	CREATE\|CLOSE

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	4661	SAM	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト > オブジェクトサーバー: Security Account Manager オブジェクト > オブジェクトの種類: SAM_DOMAIN オブジェクト > オブジェクト名: CN=Builtin,DC=[ドメイン名] オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, ReadOtherParameters, CreateUser, GetLocalGroupMembership アクセス要求情報 > プロパティ: ['{19195a5a-6da0-11d0-afd3-00c04fd930c9}', 'READ_CONTROL', 'ReadOtherParameters', 'CreateUser', 'GetLocalGroupMembership', '{c7407360-20bf-11d0-a768-00aa006e0529}', '{bf9679a4-0de6-11d0-a285-00aa003049e2}', '{bf9679a5-0de6-11d0-a285-00aa003049e2}', '{bf9679a6-0de6-11d0-a285-00aa003049e2}', '{bf9679bb-0de6-11d0-a285-00aa003049e2}', '{bf9679c2-0de6-11d0-a285-00aa003049e2}', '{bf9679c3-0de6-11d0-a285-00aa003049e2}', '{bf967a09-0de6-11d0-a285-00aa003049e2}', '{bf967a0b-0de6-11d0-a285-00aa003049e2}', '{b8119fd0-04f6-4762-ab7a-4986c76b3f9a}', '{bf967a34-0de6-11d0-a285-00aa003049e2}', '{bf967a33-0de6-11d0-a285-00aa003049e2}', '{bf9679c5-0de6-11d0-a285-00aa003049e2}', '{bf967a61-0de6-11d0-a285-00aa003049e2}', '{bf967977-0de6-11d0-a285-00aa003049e2}', '{bf96795e-0de6-11d0-a285-00aa003049e2}', '{bf9679ea-0de6-11d0-a285-00aa003049e2}', '{ab721a52-1e2f-11d0-9819-00aa0040529b}'] アクセス要求情報 > 制限されたSID数: 0 プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe
2	Security	4661	SAM	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト > オブジェクトサーバー: Security Account Manager オブジェクト > オブジェクトの種類: SAM_ALIAS オブジェクト > オブジェクト名: [対象グループのSID] オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, ListMembers, WriteAccount, 未定義のアクセス (影響なし) ビット 7 アクセス要求情報 > プロパティ: ['{bf967a9c-0de6-11d0-a285-00aa003049e2}', 'READ_CONTROL', 'ListMembers', 'WriteAccount', '未定義のアクセス (影響なし) ビット 7', '{bf9679e8-0de6-11d0-a285-00aa003049e2}', '{3e0abfd0-126a-11d0-a060-00aa006c33ed}', '{bc0ac240-79a9-11d0-9020-00c04fc2d4cf}', '{bf9679c0-0de6-11d0-a285-00aa003049e2}', '{59ba2f42-79a2-11d0-9020-00c04fc2d3cf}'] アクセス要求情報 > 制限されたSID数: 0 プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe DOMAIN_ALIAS_RID_ADMINS、DOMAIN_ALIAS_RID_PRINT_OPS、DOMAIN_ALIAS_RID_BACKUP_OPS、DOMAIN_ALIAS_RID_REPLICATOR、DOMAIN_ALIAS_RID_SYSTEM_OPS、DOMAIN_ALIAS_RID_ACCOUNT_OPS の各グループを対象として複数回発生する。
3	Security	4799	Security Group Management	セキュリティが有効なローカルグループメンバーシップが列挙されました。グループ > グループ名: [対象のグループ名] グループ > グループドメイン: Builtin グループ > セキュリティ ID: [対象グループのSID] サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] サーバーに存在する各ローカルグループを対象として複数回発生する。

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > 作成元プロセス ID: [実行プロセスID] プロセス情報 > プロセスのコマンドライン: [実行ファイルのパス] [コマンドライン] プロセス情報 > 作成元プロセス名: [親プロセス名]
2	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ] CommandLine: [実行ファイルのパス] [コマンドライン] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentUser: [親プロセスの実行ユーザー]
3	Microsoft-Windows-Sysmon/Operational	7	Image loaded	Image loaded. UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] ImageLoaded: [読み取ったDLLファイルなど] FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルなどのメタデータ] User: [ドメイン名]\[ユーザー名]
4	Security	4673	Sensitive Privilege Use	特権のあるサービスが呼び出されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] サービス > サーバー: Security サービス要求情報 > 特権: SeProfileSingleProcessPrivilege プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
5	Security	4673	Sensitive Privilege Use	特権のあるサービスが呼び出されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] サービス > サーバー: Security サービス要求情報 > 特権: SeCreateGlobalPrivilege プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
6	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetFilename: C:\ProgramData\Microsoft\NetFramework\BreadcrumbStore 配下の複数ファイル CreationUtcTime: [ファイル作成日時（UTC）] User: [ドメイン名]\[ユーザー名] 端末における.NETアプリケーションの利用状況によっては発生しない可能性がある。
7	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [実行ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\ProgramData\Microsoft\NetFramework\BreadcrumbStore 配下の複数ファイルオブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス] 端末における.NETアプリケーションの利用状況によっては発生しない可能性がある。
8	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [実行ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\ProgramData\Microsoft\NetFramework\BreadcrumbStore 配下の複数ファイルオブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile) プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス] 端末における.NETアプリケーションの利用状況によっては発生しない可能性がある。
9	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetFilename: C:\ProgramData\Microsoft\NetFramework\BreadcrumbStore 配下の複数ファイル CreationUtcTime: [ファイル作成日時（UTC）] User: [ドメイン名]\[ユーザー名] 端末における.NETアプリケーションの利用状況によっては発生しない可能性がある。
10	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [実行ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: 0xB2C46 オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
11	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: System ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
12	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [直前のイベントID: 5158でバインドしたポート] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 389 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。
13	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 389 複数回発生。
14	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetObject: HKU\[実行ユーザーのSID]\Software\Microsoft\ADs 配下の複数キー・値 User: [ドメイン名]\[ユーザー名]
15	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetObject: HKU\[実行ユーザーのSID]\Software\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=[ドメイン名]\File Details: %%LOCALAPPDATA%%\Microsoft\Windows\SchCache\[ドメイン名].sch
16	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetObject: HKU\S-1-5-21-2937846434-3049286869-2481812479-1104\Software\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=testnet,DC=local\Time Details: 20251030021737.0Z
17	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\SchCache\[ドメイン名].sch オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
18	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\SchCache\[ドメイン名].sch オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
19	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
20	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\SchCache\[ドメイン名].sch CreationUtcTime: [ファイル作成日時（UTC）] User: [ドメイン名]\[ユーザー名] 既にSchCacheが存在する場合は発生しない可能性がある。
21	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: System ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
22	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [直前のイベントID: 5158でバインドしたポート] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 636 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。
23	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 636
24	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetObject: HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL User: [ドメイン名]\[ユーザー名]
25	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetObject: \REGISTRY\A\{95bd5110-a687-9d5c-e810-9e4cfc8b7bd0}\Root 配下の複数キー・値 User: [ドメイン名]\[ユーザー名]
26	Security	4703	Token Right Adjusted Events	ユーザー権限が調整されました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] ターゲットアカウント > セキュリティ ID: [実行ユーザーのSID] ターゲットアカウント > アカウント名: [ユーザー名] ターゲットアカウント > アカウントドメイン: [ドメイン名] ターゲットアカウント > ログオン ID: [ログオンID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe プロセス情報 > プロセス ID: [プロセスID] 有効にされた特権: SeAssignPrimaryTokenPrivilege, SeIncreaseQuotaPrivilege, SeSecurityPrivilege, SeTakeOwnershipPrivilege, SeLoadDriverPrivilege, SeSystemtimePrivilege, SeBackupPrivilege, SeRestorePrivilege, SeShutdownPrivilege, SeSystemEnvironmentPrivilege, SeUndockPrivilege, SeManageVolumePrivilege 無効にされた特権: -
27	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
28	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [直前のイベントID: 5158でバインドしたポート] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 389 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。
29	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 389 複数回発生。
30	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。ドメイン管理者でのみ発生する。
31	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [直前のイベントID: 5158でバインドしたポート] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 3269 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。ドメイン管理者でのみ発生する。
32	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 3269 複数回発生。ドメイン管理者でのみ発生する。
33	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。ドメイン管理者でのみ発生する。
34	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [直前のイベントID: 5158でバインドしたポート] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 3268 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。ドメイン管理者でのみ発生する。
35	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 3268 複数回発生。ドメイン管理者でのみ発生する。
36	Security	5379	User Account Management	資格情報マネージャーの資格情報が読み取られました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [実行ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 読み取り操作: 資格情報の列挙
37	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [プロセスID] Image: \device\harddiskvolume3\windows\system32\svchost.exe User: NT AUTHORITY\NETWORK SERVICE Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 135
38	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_gpos.json オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
39	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_gpos.json オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
40	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
41	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_gpos.json CreationUtcTime: [ファイル作成日時（UTC）] User: [ドメイン名]\[ユーザー名]
42	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_users.json オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
43	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_users.json オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
44	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
45	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_users.json CreationUtcTime: [ファイル作成日時（UTC）] User: [ドメイン名]\[ユーザー名]
46	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_containers.json オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
47	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_containers.json オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
48	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
49	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_containers.json CreationUtcTime: [ファイル作成日時（UTC）] User: [ドメイン名]\[ユーザー名]
50	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_groups.json オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
51	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_groups.json オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
52	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
53	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_groups.json CreationUtcTime: [ファイル作成日時（UTC）] User: [ドメイン名]\[ユーザー名]
54	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
55	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [直前のイベントID: 5158でバインドしたポート] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 389 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。
56	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 389 複数回発生。
57	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
58	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [直前のイベントID: 5158でバインドしたポート] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 88 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。
59	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 88 複数回発生。
60	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
61	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [直前のイベントID: 5158でバインドしたポート] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 445 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。
62	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 445 複数回発生。
63	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected EventType: ConnectPipe UtcTime: [発生日時（UTC）] PipeName: \srvsvc Object: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名]
64	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected EventType: ConnectPipe UtcTime: [発生日時（UTC）] PipeName: \wkssvc Object: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名]
65	Microsoft-Windows-SmbClient/Connectivity	30830	SmbConnectionInitiatedSelectedInfo	SMB リダイレクターは次のパラメーターで開始された接続を選択しました Server name: [接続元ホスト名] Transport: 1 Server socket address: [接続先IPアドレス] Client socket address: [接続元IPアドレス] Instance Name: \Device\LanmanRedirector
66	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected EventType: ConnectPipe UtcTime: [発生日時（UTC）] PipeName: \wkssvc Object: C:\WINDOWS\system32\lsass.exe User: NT AUTHORITY\SYSTEM
67	Security	5140	File Share	ネットワーク共有オブジェクトにアクセスしました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [送信元ポート番号] 共有情報 > 共有名: \\*\IPC$ AccessMask: 0x1 アクセス要求情報 > アクセス: ReadData (または ListDirectory)
68	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [送信元ポート番号] 共有情報 > 共有名: \\*\IPC$ 共有情報 > 相対ターゲット名: NETLOGON アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
69	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [送信元ポート番号] 共有情報 > 共有名: \\*\IPC$ 共有情報 > 相対ターゲット名: winreg アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
70	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [送信元ポート番号] 共有情報 > 共有名: \\*\IPC$ 共有情報 > 相対ターゲット名: DAV RPC SERVICE アクセス要求情報 > アクセス: SYNCHRONIZE, MAX_ALLOWED, ReadAttributes
71	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
72	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [直前のイベントID: 5158でバインドしたポート] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 135 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。
73	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 135 複数回発生。
74	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_domains.json オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
75	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_domains.json オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
76	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
77	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_domains.json CreationUtcTime: [ファイル作成日時（UTC）] User: [ドメイン名]\[ユーザー名]
78	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_ous.json オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
79	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_ous.json オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
80	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
81	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_ous.json CreationUtcTime: [ファイル作成日時（UTC）] User: [ドメイン名]\[ユーザー名]
82	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: System ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
83	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [直前のイベントID: 5158でバインドしたポート] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 88 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。
84	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 88 複数回発生。
85	System	10028	なし	構成されているどのプロトコルを使っても、DCOM がコンピューター [param1] と通信できませんでした。CLSID [param4] のアクティブ化中に PID [param2] ([param3]) によって要求されました。 param1: [ドメインコントローラーホスト名] param2: [実行プロセスID] param3: [実行ファイルのパス] param4: {[ProcessGuid]}
86	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
87	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [直前のイベントID: 5158でバインドしたポート] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 445 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。
88	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 445 複数回発生。
89	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [送信元ポート番号] 共有情報 > 共有名: \\*\IPC$ 共有情報 > 相対ターゲット名: DAV RPC SERVICE アクセス要求情報 > アクセス: SYNCHRONIZE, MAX_ALLOWED, ReadAttributes
90	Security	4799	Security Group Management	セキュリティが有効なローカルグループメンバーシップが列挙されました。グループ > グループ名: [グループ名] グループ > グループドメイン: [ドメイン名] グループ > セキュリティ ID: BUILTIN\[グループ名] サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > プロセスID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス] 端末に存在する各グループに対して発生する。
91	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_computers.json オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
92	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_computers.json オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
93	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
94	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_computers.json CreationUtcTime: [ファイル作成日時（UTC）] User: [ドメイン名]\[ユーザー名]
95	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_BloodHound.zip オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
96	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_BloodHound.zip オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
97	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
98	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_BloodHound.zip CreationUtcTime: [ファイル作成日時（UTC）] User: [ドメイン名]\[ユーザー名]
99	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_computers.json オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: DELETE, ReadAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
100	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_computers.json オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: DELETE プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
101	Security	4660	File System	オブジェクトが削除されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
102	Microsoft-Windows-Sysmon/Operational	23	File Delete archived	File Delete archived User: [ドメイン名]\[ユーザー名] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_computers.json Hashes: [ハッシュ値] IsExecutable: False Archived: True
103	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_users.json オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: DELETE, ReadAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
104	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_users.json オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: DELETE プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
105	Security	4660	File System	オブジェクトが削除されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
106	Microsoft-Windows-Sysmon/Operational	23	File Delete archived	File Delete archived User: [ドメイン名]\[ユーザー名] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_users.json Hashes: [ハッシュ値] IsExecutable: False Archived: True
107	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_groups.json オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: DELETE, ReadAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
108	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_groups.json オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: DELETE プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
109	Security	4660	File System	オブジェクトが削除されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
110	Microsoft-Windows-Sysmon/Operational	23	File Delete archived	File Delete archived User: [ドメイン名]\[ユーザー名] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_groups.json Hashes: [ハッシュ値] IsExecutable: False Archived: True
111	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_containers.json オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: DELETE, ReadAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
112	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_containers.json オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: DELETE プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
113	Security	4660	File System	オブジェクトが削除されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
114	Microsoft-Windows-Sysmon/Operational	23	File Delete archived	File Delete archived User: [ドメイン名]\[ユーザー名] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_containers.json Hashes: [ハッシュ値] IsExecutable: False Archived: True
115	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_domains.json オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: DELETE, ReadAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
116	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_domains.json オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: DELETE プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
117	Security	4660	File System	オブジェクトが削除されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
118	Microsoft-Windows-Sysmon/Operational	23	File Delete archived	File Delete archived User: [ドメイン名]\[ユーザー名] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_domains.json Hashes: [ハッシュ値] IsExecutable: False Archived: True
119	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_gpos.json オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: DELETE, ReadAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
120	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_gpos.json オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: DELETE プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
121	Security	4660	File System	オブジェクトが削除されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
122	Microsoft-Windows-Sysmon/Operational	23	File Delete archived	File Delete archived User: [ドメイン名]\[ユーザー名] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_gpos.json Hashes: [ハッシュ値] IsExecutable: False Archived: True
123	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_ous.json オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: DELETE, ReadAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
124	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_ous.json オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: DELETE プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
125	Security	4660	File System	オブジェクトが削除されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
126	Microsoft-Windows-Sysmon/Operational	23	File Delete archived	File Delete archived User: [ドメイン名]\[ユーザー名] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_ous.json Hashes: [ハッシュ値] IsExecutable: False Archived: True
127	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[文字列].bin オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
128	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [実行ファイルのフォルダパス]\[文字列].bin オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
129	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
130	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] TargetFilename: [実行ファイルのフォルダパス]\[文字列].bin CreationUtcTime: [ファイル作成日時（UTC）] User: [ドメイン名]\[ユーザー名]
131	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名]
132	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
133	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
134	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
135	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > ハンドル ID: [直前のイベントID: 4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
136	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時（UTC）] ProcessId: [プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時（UTC）]

レジストリエントリ

#	パス	値	備考
1	HKU\[実行ユーザーのSID]\Software\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=[ドメイン名]\File	%%LOCALAPPDATA%%\Microsoft\Windows\SchCache\[ドメイン名].sch
2	HKU\[実行ユーザーのSID]\Software\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=[ドメイン名]\Time	20251030021737.0Z

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf	[実行ファイル名]	[実行ファイルのパス]

MFT

#	パス	ヘッダフラグ
1	.[実行ファイルのパス]	FILE
2	.[実行ファイルのフォルダパス]\[実行日時yyyyMMDDhhmmss]_BloodHound.zip	FILE
3	.[実行ファイルのフォルダパス]\[文字列].bin	FILE
4	.\ProgramData\Microsoft\NetFramework\BreadcrumbStore*	FILE
5	.\Users\domadmin\AppData\Local\Microsoft\Windows\SchCache	DIRECTORY
6	.\Users\domadmin\AppData\Local\Microsoft\Windows\SchCache\[ローカルドメイン].sch	FILE
7	.\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf	FILE

USNジャーナル

#	ファイル名	処理	備考
1	[実行ファイル名]	CLOSE CREATE\|EXTEND\|OVERWRITE\|INFO\|CLOSE
2	SchCache\	CREATE\|CLOSE	FOLDER
3	[ローカルドメイン].sch	CREATE\|EXTEND\|CLOSE
4	[実行日時yyyyMMDDhhmmss]_computers.json	CREATE CREATE\|EXTEND\|CLOSE
5	[実行日時yyyyMMDDhhmmss]_users.json	CREATE CREATE\|EXTEND\|CLOSE
6	[実行日時yyyyMMDDhhmmss]_groups.json	CREATE CREATE\|EXTEND CREATE\|EXTEND\|CLOSE
7	[実行日時yyyyMMDDhhmmss]_domains.json	CREATE CREATE\|EXTEND\|CLOSE
8	[実行日時yyyyMMDDhhmmss]_gpos.json	CREATE CREATE\|EXTEND\|CLOSE
9	[実行日時yyyyMMDDhhmmss]_ous.json	CREATE CREATE\|EXTEND\|CLOSE
10	[実行日時yyyyMMDDhhmmss]_containers.json	CREATE CREATE\|EXTEND CREATE\|EXTEND\|CLOSE
11	[実行日時yyyyMMDDhhmmss]_BloodHound.zip	CREATE\|EXTEND\|OVERWRITE\|CLOSE
12	[文字列].bin	CREATE\|EXTEND\|CLOSE
13	[実行ファイル名]-[ハッシュ値].pf	CREATE\|EXTEND\|CLOSE

- 接続先

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 389 ネットワーク情報 > プロトコル: 6 (TCP)
2	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: System User: NT AUTHORITY\NETWORK SERVICE Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 389
3	Security	4624	Logon	アカウントが正常にログオンしました。サブジェクト > セキュリティ ID: S-1-0-0 サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [ユーザーSID] 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウントドメイン: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] 詳細な認証情報 > ログオンプロセス: Kerberos 詳細な認証情報 > 認証パッケージ: Kerberos ログオン情報 > 昇格されたトークン: 特権ログオン情報 > ログオンタイプ: 3 ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] 送信元ポート番号は直前のイベントID: 5156に記録されているもの。
4	Security	4627	Group Membership	グループメンバーシップ情報。サブジェクト > セキュリティ ID: S-1-0-0 サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [実行ユーザーのSID] 新しいログオン > アカウント名: [コンピューターアカウント] 新しいログオン > アカウントドメイン: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] ログオンタイプ: 3 複数回発生。
5	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume3\windows\system32\lsass.exe ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 636 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。
6	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [プロセスID] Image: System User: NT AUTHORITY\NETWORK SERVICE Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 636 複数回発生。
7	Security	4624	Logon	アカウントが正常にログオンしました。サブジェクト > セキュリティ ID: S-1-0-0 サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [実行ユーザーのSID] 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウントドメイン: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] 詳細な認証情報 > ログオンプロセス: Kerberos 詳細な認証情報 > 認証パッケージ: Kerberos ログオン情報 > 昇格されたトークン: 特権ログオン情報 > ログオンタイプ: 3 ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] 複数回発生。送信元ポート番号は直前のイベントID: 5156に記録されているもの。
8	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 389 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。
9	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [プロセスID] Image: System User: NT AUTHORITY\NETWORK SERVICE Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 389 複数回発生。
10	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 3269 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。ドメイン管理者でのみ発生する。
11	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [プロセスID] Image: C:\Windows\System32\lsass.exe User: NT AUTHORITY\SYSTEM Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 3269 複数回発生。ドメイン管理者でのみ発生する。
12	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 3268 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。ドメイン管理者でのみ発生する。
13	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [プロセスID] Image: C:\Windows\System32\lsass.exe User: NT AUTHORITY\SYSTEM Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 3268 複数回発生。ドメイン管理者でのみ発生する。
14	Security	4624	Logon	アカウントが正常にログオンしました。サブジェクト > セキュリティ ID: S-1-0-0 サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [ユーザーSID] 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウントドメイン: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] 詳細な認証情報 > ログオンプロセス: Kerberos 詳細な認証情報 > 認証パッケージ: Kerberos ログオン情報 > 昇格されたトークン: 特権ログオン情報 > ログオンタイプ: 3 ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] イベントID: 5156と同時に複数回発生。送信元ポート番号は直前のイベントID: 5156に記録されているもの。
15	Security	4769	Kerberos Service Ticket Operations	Kerberos サービスチケットが要求されました。アカウント情報 > アカウント名: [ユーザー名]@[ドメイン名] アカウント情報 > アカウントドメイン: [ドメイン名] サービス情報 > サービス名: [コンピューターアカウント] サービス情報 > サービス ID: [ユーザーSID] 追加情報 > チケットオプション: 0x40810000 ネットワーク情報 > クライアントアドレス: [接続元IPアドレス] ネットワーク情報 > クライアントポート: [接続元ポート番号] 追加情報 > エラーコード: 0x0 複数回発生。
16	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 88 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。
17	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [プロセスID] Image: System User: NT AUTHORITY\NETWORK SERVICE Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 88 複数回発生。
18	Security	4769	Kerberos Service Ticket Operations	Kerberos サービスチケットが要求されました。アカウント情報 > アカウント名: [ユーザー名]@[ドメイン名] アカウント情報 > アカウントドメイン: [ドメイン名] サービス情報 > サービス名: krbtgt サービス情報 > サービス ID: [krbtgtアカウントのsid] 追加情報 > チケットオプション: 0x60810010 ネットワーク情報 > クライアントアドレス: [接続元IPアドレス] ネットワーク情報 > クライアントポート: [接続元ポート番号] 追加情報 > エラーコード: 0x0
19	Microsoft-Windows-Sysmon/Operational	10	Process accessed	Process accessed. UtcTime: [発生日時（UTC）] SourceProcessId: [アクセス元プロセスID] SourceThreadId: [アクセス元スレッドID] SourceImage: C:\WINDOWS\system32\lsass.exe TargetProcessId: [アクセス先プロセスID] TargetImage: System GrantedAccess: 0x1000
20	Security	4624	Logon	アカウントが正常にログオンしました。サブジェクト > セキュリティ ID: S-1-0-0 サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [実行ユーザーのSID] 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウントドメイン: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] 詳細な認証情報 > ログオンプロセス: Kerberos 詳細な認証情報 > 認証パッケージ: Kerberos ログオン情報 > 昇格されたトークン: 特権ログオン情報 > ログオンタイプ: 3 ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] イベントID: 5156と同時に複数回発生。送信元ポート番号は直前のイベントID: 5156に記録されているもの。
21	Security	4627	Group Membership	グループメンバーシップ情報。サブジェクト > セキュリティ ID: S-1-0-0 サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [実行ユーザーのSID] 新しいログオン > アカウント名: [コンピューターアカウント] 新しいログオン > アカウントドメイン: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] ログオンタイプ: 3 複数回発生。
22	Security	5140	File Share	ネットワーク共有オブジェクトにアクセスしました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\IPC$ アクセス要求情報 > アクセス: ReadData (または ListDirectory)
23	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: 0x18CAA2 オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\IPC$ 共有情報 > 相対ターゲット名: NETLOGON アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
24	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected EventType: ConnectPipe UtcTime: [発生日時（UTC）] PipeName: \lsass Image: System User: NT AUTHORITY\SYSTEM
25	Security	4634	Logoff	アカウントがログオフしました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] TargetUserDomainName: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] ログオンタイプ: 3
26	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 445 ネットワーク情報 > プロトコル: 6 (TCP)
27	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [プロセスID] Image: System User: NT AUTHORITY\NETWORK SERVICE Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 445
28	Security	4624	Logon	アカウントが正常にログオンしました。サブジェクト > セキュリティ ID: S-1-0-0 サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [実行ユーザーのSID] 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウントドメイン: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] 詳細な認証情報 > ログオンプロセス: Kerberos 詳細な認証情報 > 認証パッケージ: Kerberos ログオン情報 > 昇格されたトークン: 特権ログオン情報 > ログオンタイプ: 3 ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] 送信元ポート番号は直前のイベントID: 5156に記録されているもの。
29	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [送信元ポート番号] 共有情報 > 共有名: \\*\IPC$ 共有情報 > 相対ターゲット名: winreg アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
30	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected EventType: ConnectPipe UtcTime: [発生日時（UTC）] PipeName: \winreg Image: System User: NT AUTHORITY\SYSTEM
31	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 88 ネットワーク情報 > プロトコル: 6 (TCP)
32	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [プロセスID] Image: System User: NT AUTHORITY\NETWORK SERVICE Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 88
33	Security	4624	Logon	アカウントが正常にログオンしました。サブジェクト > セキュリティ ID: S-1-0-0 サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [実行ユーザーのSID] 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウントドメイン: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] 詳細な認証情報 > ログオンプロセス: Kerberos 詳細な認証情報 > 認証パッケージ: Kerberos ログオン情報 > 昇格されたトークン: 特権ログオン情報 > ログオンタイプ: 3 ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] 送信元ポート番号は直前のイベントID: 5156に記録されているもの。
34	Microsoft-Windows-Sysmon/Operational	10	Process accessed	Process accessed. UtcTime: [発生日時（UTC）] SourceProcessId: [アクセス元プロセスID] SourceThreadId: [アクセス元スレッドID] SourceImage: C:\WINDOWS\system32\lsass.exe TargetProcessId: [アクセス先プロセスID] TargetImage: C:\WINDOWS\system32\svchost.exe GrantedAccess: 0x1000
35	Security	5140	File Share	ネットワーク共有オブジェクトにアクセスしました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\SYSVOL 共有情報 > 共有パス: \??\C:\WINDOWS\SYSVOL\sysvol アクセス要求情報 > アクセス: ReadData (または ListDirectory)
36	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\SYSVOL 共有情報 > 共有パス: \??\C:\WINDOWS\SYSVOL\sysvol 共有情報 > 相対ターゲット名: [ドメイン名]\Policies\{[GUID]}\MACHINE\Preferences\Groups\Groups.xml アクセス要求情報 > アクセス: ReadAttributes
37	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 88 ネットワーク情報 > プロトコル: 6 (TCP)
38	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [プロセスID] Image: System User: NT AUTHORITY\NETWORK SERVICE Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 88
39	Security	4769	Kerberos Service Ticket Operations	Kerberos サービスチケットが要求されました。アカウント情報 > アカウント名: [チケットを要求したユーザー名@ドメイン名] アカウント情報 > アカウントドメイン: [ドメイン名] サービス情報 > サービス名: krbtgt サービス情報 > サービス ID: [チケット発行対象のユーザーSID] ネットワーク情報 > クライアントアドレス: [接続元IPアドレス] ネットワーク情報 > クライアントポート: [接続元ポート番号] 追加情報 > エラーコード: 0x0 送信元ポート番号は直前のイベントID: 5156に記録されているもの。
40	Security	4624	Logon	アカウントが正常にログオンしました。サブジェクト > セキュリティ ID: S-1-0-0 サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [実行ユーザーのSID] 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウントドメイン: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] 詳細な認証情報 > ログオンプロセス: Kerberos 詳細な認証情報 > 認証パッケージ: Kerberos ログオン情報 > 昇格されたトークン: 特権ログオン情報 > ログオンタイプ: 3 ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] 送信元ポート番号は直前のイベントID: 5156に記録されているもの。
41	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\SYSVOL 共有情報 > 共有パス: \??\C:\WINDOWS\SYSVOL\sysvol 共有情報 > 相対ターゲット名: [ドメイン名]\Policies\{[GUID]}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf アクセス要求情報 > アクセス: ReadAttributes 送信元ポート番号は直前のイベントID: 5156に記録されているもの。
42	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\SYSVOL 共有情報 > 共有パス: \??\C:\WINDOWS\SYSVOL\sysvol 共有情報 > 相対ターゲット名: [ドメイン名]\Policies\{[GUID]}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE,ReadData (または ListDirectory), ReadEA, ReadAttributes 送信元ポート番号は直前のイベントID: 5156に記録されているもの。
43	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected EventType: ConnectPipe UtcTime: [発生日時（UTC）] PipeName: \srvsvc Image: System User: NT AUTHORITY\SYSTEM
44	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 636 ネットワーク情報 > プロトコル: 6 (TCP)
45	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [プロセスID] Image: System User: NT AUTHORITY\NETWORK SERVICE Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 636
46	Security	4624	Logon	アカウントが正常にログオンしました。サブジェクト > セキュリティ ID: S-1-0-0 サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [実行ユーザーのSID] 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウントドメイン: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] 詳細な認証情報 > ログオンプロセス: Kerberos 詳細な認証情報 > 認証パッケージ: Kerberos ログオン情報 > 昇格されたトークン: 特権ログオン情報 > ログオンタイプ: 3 ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] 送信元ポート番号は直前のイベントID: 5156に記録されているもの。
47	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 389 ネットワーク情報 > プロトコル: 6 (TCP)
48	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [プロセスID] Image: System User: NT AUTHORITY\NETWORK SERVICE Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 389
49	Security	4624	Logon	アカウントが正常にログオンしました。サブジェクト > セキュリティ ID: S-1-0-0 サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [実行ユーザーのSID] 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウントドメイン: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] 詳細な認証情報 > ログオンプロセス: Kerberos 詳細な認証情報 > 認証パッケージ: Kerberos ログオン情報 > 昇格されたトークン: 特権ログオン情報 > ログオンタイプ: 3 ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] 送信元ポート番号は直前のイベントID: 5156に記録されているもの。
50	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected EventType: ConnectPipe UtcTime: [発生日時（UTC）] PipeName: \wkssvc Image: System User: NT AUTHORITY\SYSTEM
51	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\IPC$ 共有情報 > 相対ターゲット名: srvsvc アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
52	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\IPC$ 共有情報 > 相対ターゲット名: wkssvc アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
53	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\IPC$ 共有情報 > 相対ターゲット名: lsarpc アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
54	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected EventType: ConnectPipe UtcTime: [発生日時（UTC）] PipeName: \lsass Image: System User: NT AUTHORITY\SYSTEM
55	Security	4776	Credential Validation	コンピューターがアカウントの資格情報の確認を試行しました。 PackageName MICROSOFT_AUTHENTICATION_PACKAGE: V1_0 ログオンアカウント: [ユーザー名] ソースワークステーション: [ドメイン名] エラーコード: 0x0
56	System	6038	なし	Microsoft Windows Server とクライアントの間で、現在 NTLM 認証が使用されていることが検出されました。このイベントは、クライアントの起動時に初めて NTLM を使用してこのサーバーに認証するときに 1 回発生します。ソース: LSA (LsaSrv)。
57	Security	4634	Logoff	アカウントがログオフしました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] TargetUserDomainName: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] ログオンタイプ: 3 イベントID: 4624に対応し、複数回発生する。
58	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\IPC$ 共有情報 > 相対ターゲット名: winreg アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
59	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected EventType: ConnectPipe UtcTime: [発生日時（UTC）] PipeName: \winreg Image: System User: NT AUTHORITY\SYSTEM
60	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected EventType: ConnectPipe UtcTime: [発生日時（UTC）] PipeName: \lsass Image: C:\WINDOWS\system32\wbem\wmiprvse.exe User: NT AUTHORITY\NETWORK SERVICE 複数回発生。ドメイン管理者でのみ発生する。
61	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected EventType: ConnectPipe UtcTime: [発生日時（UTC）] PipeName: \srvsvc Image: C:\WINDOWS\system32\wbem\wmiprvse.exe User: NT AUTHORITY\NETWORK SERVICE 複数回発生。ドメイン管理者でのみ発生する。
62	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected EventType: ConnectPipe UtcTime: [発生日時（UTC）] PipeName: \lsass Image: C:\WINDOWS\system32\wbem\wmiprvse.exe User: NT AUTHORITY\NETWORK SERVICE 複数回発生。ドメイン管理者でのみ発生する。
63	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\IPC$ 共有情報 > 相対ターゲット名: DAV RPC SERVICE アクセス要求情報 > アクセス: SYNCHRONIZE, MAX_ALLOWED, ReadAttributes
64	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\IPC$ 共有情報 > 相対ターゲット名: samr アクセス要求情報 > アクセス: SYNCHRONIZE, MAX_ALLOWED, ReadAttributes
65	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume3\windows\system32\svchost.exe ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 135 ネットワーク情報 > プロトコル: 6 (TCP)
66	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 445 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。
67	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [プロセスID] Image: System User: NT AUTHORITY\SYSTEM Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 445 複数回発生。
68	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 389 ネットワーク情報 > プロトコル: 6 (TCP) 複数回発生。
69	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時（UTC）] ProcessId: [実行プロセスID] Image: System User: NT AUTHORITY\NETWORK SERVICE Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestPort: 389 複数回発生。
70	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\IPC$ 共有情報 > 相対ターゲット名: samr アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
71	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected EventType: ConnectPipe UtcTime: [発生日時（UTC）] PipeName: \lsass Image: System User: NT AUTHORITY\SYSTEM
72	Security	4661	SAM	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト > オブジェクトサーバー: Security Account Manager オブジェクト > オブジェクトの種類: SAM_DOMAIN オブジェクト > オブジェクト名: CN=Builtin,DC=[ドメイン名] オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, ReadOtherParameters, CreateUser, GetLocalGroupMembership アクセス要求情報 > プロパティ: ['{19195a5a-6da0-11d0-afd3-00c04fd930c9}', 'READ_CONTROL', 'ReadOtherParameters', 'CreateUser', 'GetLocalGroupMembership', '{c7407360-20bf-11d0-a768-00aa006e0529}', '{bf9679a4-0de6-11d0-a285-00aa003049e2}', '{bf9679a5-0de6-11d0-a285-00aa003049e2}', '{bf9679a6-0de6-11d0-a285-00aa003049e2}', '{bf9679bb-0de6-11d0-a285-00aa003049e2}', '{bf9679c2-0de6-11d0-a285-00aa003049e2}', '{bf9679c3-0de6-11d0-a285-00aa003049e2}', '{bf967a09-0de6-11d0-a285-00aa003049e2}', '{bf967a0b-0de6-11d0-a285-00aa003049e2}', '{b8119fd0-04f6-4762-ab7a-4986c76b3f9a}', '{bf967a34-0de6-11d0-a285-00aa003049e2}', '{bf967a33-0de6-11d0-a285-00aa003049e2}', '{bf9679c5-0de6-11d0-a285-00aa003049e2}', '{bf967a61-0de6-11d0-a285-00aa003049e2}', '{bf967977-0de6-11d0-a285-00aa003049e2}', '{bf96795e-0de6-11d0-a285-00aa003049e2}', '{bf9679ea-0de6-11d0-a285-00aa003049e2}', '{ab721a52-1e2f-11d0-9819-00aa0040529b}'] アクセス要求情報 > 制限されたSID数: 0 プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe
73	Security	4661	SAM	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト > オブジェクトサーバー: Security Account Manager オブジェクト > オブジェクトの種類: SAM_ALIAS オブジェクト > オブジェクト名: [対象グループのSID] オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, ListMembers, WriteAccount, 未定義のアクセス (影響なし) ビット 7 アクセス要求情報 > プロパティ: ['{bf967a9c-0de6-11d0-a285-00aa003049e2}', 'READ_CONTROL', 'ListMembers', 'WriteAccount', '未定義のアクセス (影響なし) ビット 7', '{bf9679e8-0de6-11d0-a285-00aa003049e2}', '{3e0abfd0-126a-11d0-a060-00aa006c33ed}', '{bc0ac240-79a9-11d0-9020-00c04fc2d4cf}', '{bf9679c0-0de6-11d0-a285-00aa003049e2}', '{59ba2f42-79a2-11d0-9020-00c04fc2d3cf}'] アクセス要求情報 > 制限されたSID数: 0 プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe DOMAIN_ALIAS_RID_ADMINS、DOMAIN_ALIAS_RID_PRINT_OPS、DOMAIN_ALIAS_RID_BACKUP_OPS、DOMAIN_ALIAS_RID_REPLICATOR、DOMAIN_ALIAS_RID_SYSTEM_OPS、DOMAIN_ALIAS_RID_ACCOUNT_OPS の各グループを対象として複数回発生する。
74	Security	4799	Security Group Management	セキュリティが有効なローカルグループメンバーシップが列挙されました。グループ > グループ名: [対象のグループ名] グループ > グループドメイン: Builtin グループ > セキュリティ ID: [対象グループのSID] サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] サーバーに存在する各ローカルグループを対象として複数回発生する。
75	Security	4634	Logoff	アカウントがログオフしました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] TargetUserDomainName: [ユーザー名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] ログオンタイプ: 3 複数回発生。
76	Security	4658	Other Object Access Events	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [実行ユーザーのSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ユーザー名] サブジェクト > ログオン ID: [イベントID: 4624で記録されたログオンID] オブジェクト > オブジェクトサーバー: Security Account Manager オブジェクト > ハンドル ID: [ハンドルID] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe

SharpHound

- 目次

- ツール概要

- ツール動作概要

- 概要

- 動作確認環境

- ログから得られる情報

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

Prefetch

MFT

USNジャーナル

- 接続先

イベントログ

- 詳細情報

- 接続元

イベントログ

レジストリエントリ

Prefetch

MFT

USNジャーナル

- 接続先

イベントログ

- パケット

- 備考

#	オペレーション	接続元ホスト	接続元ポート番号	接続先ホスト	接続先ポート	プロトコル	アプリケーション
1	Bind: call_id: [ID], Fragment: Single, 3 context items: EPMv4 V3.0 (32bit NDR), EPMv4 V3.0 (64bit NDR), EPMv4 V3.0 ([GUID])	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	135	tcp	DCERPC
2	Bind_ack: call_id: [ID], Fragment: Single, max_xmit: 5840 max_recv: 5840, 3 results: Provider rejection, Acceptance, Negotiate ACK	[接続先IPアドレス]	135	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
3	Map request, LSARPC, 32bit NDR	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	135	tcp	EPM
4	Map response, LSARPC, 32bit NDR	[接続先IPアドレス]	135	[接続元IPアドレス]	[接続元ポート番号]	tcp	EPM
5	Bind: call_id: [ID], Fragment: Single, 3 context items: LSARPC V0.0 (32bit NDR), LSARPC V0.0 (64bit NDR), LSARPC V0.0 ([GUID])	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
6	Bind_ack: call_id: [ID], Fragment: Single, max_xmit: 5840 max_recv: 5840, 3 results: Provider rejection, Acceptance, Negotiate ACK	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
7	Alter_context: call_id: [ID], Fragment: Single, 1 context items: LSARPC V0.0 (64bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
8	Alter_context_resp: call_id: [ID], Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
9	lsa_LookupSids3 request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	LSARPC
10	lsa_LookupSids3 response	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	LSARPC
11	searchRequest([ID]) <ROOT>" baseObject "	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	389	tcp	LDAP
12	searchResEntry([ID]) <ROOT>" \| searchResDone([ID]) success [1 result]"	[接続先IPアドレス]	389	[接続元IPアドレス]	[接続元ポート番号]	tcp	LDAP
13	bindRequest([ID]) <ROOT>" sasl "	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	389	tcp	LDAP
14	bindResponse([ID]) success	[接続先IPアドレス]	389	[接続元IPアドレス]	[接続元ポート番号]	tcp	LDAP
15	SASL GSS-API Privacy: payload	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	389	tcp	LDAP
16	SASL GSS-API Privacy: payload	[接続先IPアドレス]	389	[接続元IPアドレス]	[接続元ポート番号]	tcp	LDAP
17	TGS-REQ	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	88	tcp	KRB5
18	TGS-REP	[接続先IPアドレス]	88	[接続元IPアドレス]	[接続元ポート番号]	tcp	KRB5
19	Client Hello (SNI=[ドメインコントローラーFQDN])	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	636	tcp	TLSv1
20	Bind_ack: call_id: [ID], Fragment: Single, max_xmit: 4280 max_recv: 4280, 3 results: Provider rejection, Acceptance, Negotiate ACK	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
21	Response: call_id: [ID], Fragment: Single, Ctx: 1	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
22	ServerAlive2 request IOXIDResolver V0	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	135	tcp	IOXIDResolver
23	ServerAlive2 response[Long frame (2 bytes)]	[接続先IPアドレス]	135	[接続元IPアドレス]	[接続元ポート番号]	tcp	IOXIDResolver
24	KRB Error: KRB5KDC_ERR_S_PRINCIPAL_UNKNOWN	[接続先IPアドレス]	88	[接続元IPアドレス]	[接続元ポート番号]	tcp	KRB5
25	Create Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
26	GetInfo Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
27	Write Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
28	Close Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
29	Session message; Negotiate Protocol	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
30	Negotiate Protocol Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
31	Ioctl Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2