WinRM

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
コマンド実行
説明
リモート端末のシェルに接続する。
攻撃時における想定利用例
接続したリモート端末にて悪意のあるコマンドを実行する。

- ツール動作概要

- 概要

項目 接続元 接続先
通信プロトコル
  • 5985/tcp
  • 5985/tcp
権限 Admin Admin
ドメインへの所属 不要 不要
サービス - Windows Remote Management
OS Windows Windows
備考 - -

- 動作確認環境

環境 動作可否
Windows 7 + Windows Server 2012 動作する
Windows 10 + Windows Server 2012 動作する
Windows 11 + Windows Server 2025 動作する

- ログから得られる情報

標準設定
  • 接続元
    • Prefetch: 実行履歴
    • イベントログ (Microsoft-Windows-WinRM/Operational): WinRM実行履歴
  • 接続先
    • Prefetch: 実行履歴
    • イベントログ (Microsoft-Windows-WinRM/Operational): WinRM実行履歴
追加設定
  • 接続元
    • 監査ポリシー・Sysmon: 5985/tcpによる通信、レジストリアクセス、実行履歴
    • パケットキャプチャ: 5985/tcpによる通信
  • 接続先
    • 監査ポリシー・Sysmon: 5985/tcpによる通信、レジストリアクセス、実行履歴
    • パケットキャプチャ: 5985/tcpによる通信

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-WinRM/Operational 6 WSMan Session Initialize WSMan セッションを作成しています。 接続文字列は [接続先ホスト] です
2 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\windowspowershell\v1.0\powershell.exe
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [直前のイベント5158でバインドしたポート]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 5985
  • ネットワーク情報 > プロトコル: 6 (TCP)

複数回発生

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: 4
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 5985
  • ネットワーク情報 > プロトコル: 6 (TCP)

複数回発生
2 Windows PowerShell 400 エンジンのライフサイクル エンジンの状態が [PreviousEngineState] から [NewEngineState] に変更されました。
  • NewEngineState: Available
  • PreviousEngineState: None
  • SequenceNumber: 13
  • HostName: ServerRemoteHost
  • HostVersion: 1.0.0.0
  • HostId: [ホストID]
  • HostApplication: C:\WINDOWS\system32\wsmprovhost.exe -Embedding
  • EngineVersion: 5.1.26100.1591
  • RunspaceId: 2b30e8dc-0b6a-4477-bcf4-c96bf2904781

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 WSMPROVHOST.EXE-[ハッシュ値].pf WSMPROVHOST.EXE \VOLUME{01dc48a41be32910-f81be9cd}\WINDOWS\SYSTEM32\WSMPROVHOST.EXE

MFT

# パス ヘッダフラグ 備考
1 .\Windows\Prefetch\WSMPROVHOST.EXE-[ハッシュ値].pf FILE ALLOCATED

USNジャーナル

# ファイル名 処理 備考
1 WSMPROVHOST.EXE-[ハッシュ値].pf
  • CREATE
  • EXTEND
  • CLOSE
 ARCHIVE|NOINDEX

- 詳細情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 4656 Registry オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Key
  • オブジェクト > オブジェクト名: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: READ_CONTROL, キー値の照会, サブキーの列挙, キー変更に関する通知
  • プロセス情報 > プロセス ID: [プロセスID]
2 Microsoft-Windows-PowerShell/Operational 8193 接続 Runspace オブジェクトを作成しています
3 Microsoft-Windows-PowerShell/Operational 8194 接続 RunspacePool オブジェクトを作成しています
4 Microsoft-Windows-WinRM/Operational 2 WSMan API Initialize WSMan API の初期化解除が正常に完了しました
5 Microsoft-Windows-WinRM/Operational 29 WSMan API Initialize WSMan API の初期化が正常に完了しました
6 Microsoft-Windows-WinRM/Operational 6 WSMan Session Initialize WSMan セッションを作成しています。 接続文字列は [接続先ホスト] です
7 Microsoft-Windows-WinRM/Operational 31 WSMan Session initialize WSMan セッションの作成操作が正常に完了しました
8 Microsoft-Windows-WinRM/Operational 10 WSMan API call WSMan セッションのオプション ([optionCode]) - [optionName] に値 ([optionValue]) を正常に設定しました。
  • optionCode: 34
  • optionName: WSMAN_OPTION_USE_INTEARACTIVE_TOKEN
  • optionValue: 0
9 Microsoft-Windows-WinRM/Operational 10 WSMan API call WSMan セッションのオプション ([optionCode]) - [optionName] に値 ([optionValue]) を正常に設定しました。
  • optionCode: 26
  • optionName: WSMAN_OPTION_UI_LANGUAGE
  • optionValue: ja-JP
10 Microsoft-Windows-WinRM/Operational 10 WSMan API call WSMan セッションのオプション ([optionCode]) - [optionName] に値 ([optionValue]) を正常に設定しました。
  • optionCode: 25
  • optionName: WSMAN_OPTION_LOCALE
  • optionValue: ja-JP
11 Microsoft-Windows-WinRM/Operational 10 WSMan API call WSMan セッションのオプション ([optionCode]) - [optionName] に値 ([optionValue]) を正常に設定しました。
  • optionCode: 1
  • optionName: WSMAN_OPTION_DEFAULT_OPERATION_TIMEOUTMS
  • optionValue: 180000
12 Microsoft-Windows-WinRM/Operational 10 WSMan API call WSMan セッションのオプション ([optionCode]) - [optionName] に値 ([optionValue]) を正常に設定しました。
  • optionCode: 12
  • optionName: WSMAN_OPTION_TIMEOUTMS_CREATE_SHELL
  • optionValue: 180000
13 Microsoft-Windows-WinRM/Operational 10 WSMan API call WSMan セッションのオプション ([optionCode]) - [optionName] に値 ([optionValue]) を正常に設定しました。
  • optionCode: 17
  • optionName: WSMAN_OPTION_TIMEOUTMS_CLOSE_SHELL
  • optionValue: 60000
14 Microsoft-Windows-WinRM/Operational 10 WSMan API call WSMan セッションのオプション ([optionCode]) - [optionName] に値 ([optionValue]) を正常に設定しました。
  • optionCode: 16
  • optionName: WSMAN_OPTION_TIMEOUTMS_SIGNAL_SHELL
  • optionValue: 60000
15 Microsoft-Windows-PowerShell/Operational 8195 接続 RunspacePool を開いています
16 Microsoft-Windows-PowerShell/Operational 8197 接続 実行空間の状態が [状態] に変更されました
17 Microsoft-Windows-WinRM/Operational 11 WSMan API call WSMan シェルをリソース URI http://schemas.microsoft.com/wbem/wsman/1/windows/shell/cmd および ShellId Unspecified で作成しています
  • resourceUri: http://schemas.microsoft.com/powershell/Microsoft.PowerShell
  • shellId: 36890D96-C12F-45B2-BD31-4D440F43953C
18 Security 5158 Filtering Platform Connection Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\windowspowershell\v1.0\powershell.exe
  • ネットワーク情報 > ソース ポート: [送信元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)

複数回発生
19 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\windowspowershell\v1.0\powershell.exe
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [直前のイベント5158でバインドしたポート]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 5985
  • ネットワーク情報 > プロトコル: 6 (TCP)

複数回発生
20 Microsoft-Windows-PowerShell/Operational 8196 なし 活動 ID を変更し、関連付けています

複数回発生
21 Microsoft-Windows-PowerShell/Operational 12039 なし 活動 ID を変更し、関連付けています

複数回発生
22 Microsoft-Windows-PowerShell/Operational 8197 接続 実行空間の状態が [状態] に変更されました

複数回発生
23 Microsoft-Windows-WinRM/Operational 13 WSMan API call CommandId Unspecified の WSMan コマンドを実行しています
24 Microsoft-Windows-WinRM/Operational 15 WSMan API call WSMan コマンドを閉じています
25 Microsoft-Windows-WinRM/Operational 13 WSMan API call CommandId Unspecified の WSMan コマンドを実行しています
26 Microsoft-Windows-PowerShell/Operational 8196 なし 活動 ID を変更し、関連付けています

複数回発生
27 Microsoft-Windows-PowerShell/Operational 12039 なし 活動 ID を変更し、関連付けています

複数回発生
28 Microsoft-Windows-WinRM/Operational 15 WSMan API call WSMan コマンドを閉じています
29 Microsoft-Windows-WinRM/Operational 13 WSMan API call CommandId Unspecified の WSMan コマンドを実行しています
30 Microsoft-Windows-WinRM/Operational 15 WSMan API call WSMan コマンドを閉じています
31 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 5985
32 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: False
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 5985

複数回発生
33 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\WINDOWS\system32\wbem\wmiprvse.exe
  • TargetObject: HKLM\SOFTWARE\Microsoft\Wbem\Tracing\Providers\WmiPerfClass @ root/CIMV2\[数字]
  • Details: CreateClassEnumAsync: Win32_PerfRawData_PerfOS_Memory
  • User: NT AUTHORITY\SYSTEM

レジストリエントリ

# パス 備考
1 HKLM\SOFTWARE\Microsoft\Wbem\Tracing\Providers\WmiPerfClass @ root/CIMV2\[数字] CreateClassEnumAsync: Win32_PerfRawData_PerfOS_Memory

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: 4
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 5985
  • ネットワーク情報 > プロトコル: 6 (TCP)

複数回発生
2 Security 4776 Credential Validation コンピューターがアカウントの資格情報の確認を試行しました。
  • PackageName MICROSOFT_AUTHENTICATION_PACKAGE: V1_0
  • ログオン アカウント: [ユーザー名]
  • ソース ワークステーション: [ドメイン名]
  • エラー コード: 0x0
3 Security 4672 Special Logon 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege
4 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: S-1-0-0
  • サブジェクト > アカウント名: -
  • サブジェクト > アカウント ドメイン: -
  • サブジェクト > ログオン ID: 0x0
  • 新しいログオン > セキュリティ ID: [ユーザーSID]
  • 新しいログオン > アカウント名: [ユーザー名]
  • 新しいログオン > アカウント名: [ドメイン名]
  • 新しいログオン > ログオン ID: [ログオンID]
  • ログオン情報 > 昇格されたトークン: 特権
  • ログオン情報 > ログオン タイプ: 3
  • ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]

複数回発生。送信元ポート番号は直前のイベント5156に記録されているもの。
5 Security 4656 Other Object Access Events オブジェクトに対するハンドルが要求されました。
  • TargetUserSid: [ユーザーSID]
  • TargetUserName: [コンピューターアカウント名]
  • TargetDomainName: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: WS-Management Listener
  • オブジェクト > オブジェクトの種類: Unknown
  • オブジェクト > オブジェクト名: Unknown
  • オブジェクト > ハンドル ID: 0x0
  • アクセス要求情報 > アクセス: 不明な固有アクセス (ビット 0), 不明な固有アクセス (ビット 1), 不明な固有アクセス (ビット 2)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
6 Security 4690 Handle Manipulation オブジェクトに対するハンドルの複製が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 複製元ハンドル情報 > 複製元ハンドル ID: [複製元ハンドルID]
  • 複製元ハンドル情報 > 複製元プロセス ID: [複製元プロセスID]
  • 新しいハンドル情報 > 複製先ハンドル ID: [複製先ハンドルID]
  • 新しいハンドル情報 > 複製先プロセス ID: [複製先プロセスID]

複製元ハンドルIDは直前のイベント4656に記録されているもの。
7 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
8 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: SYSTEM
  • 作成元サブジェクト > アカウント名: [接続先コンピュータアカウント名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\wsmprovhost.exe
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > プロセスのコマンド ライン: C:\WINDOWS\system32\wsmprovhost.exe -Embedding
  • プロセス情報 > 作成元プロセス ID: [プロセスID]
  • プロセス情報 > 作成元プロセス名: C:\Windows\System32\svchost.exe
9 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\wsmprovhost.exe
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: C:\WINDOWS\system32\wsmprovhost.exe -Embedding
  • CurrentDirectory: C:\WINDOWS\system32\
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • IntegrityLevel: High
  • Hashes: [ファイルのハッシュ値]
  • ParentProcessId: [プロセスID]
  • ParentImage: C:\Windows\System32\svchost.exe
  • ParentCommandLine: C:\WINDOWS\system32\svchost.exe -k DcomLaunch -p
  • ParentUser: NT AUTHORITY\SYSTEM
10 Microsoft-Windows-Sysmon/Operational 7 Image loaded Image loaded.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\wsmprovhost.exe
  • ImageLoaded: [関連するDLLのパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルのメタデータ]
  • User: [ドメイン名]\[ユーザー名]
11 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Mutant
  • オブジェクト > オブジェクト名: \BaseNamedObjects\SM0:6556:304:WilStaging_02
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
12 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: -
  • オブジェクト > オブジェクト名: -
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
13 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Semaphore
  • オブジェクト > オブジェクト名: \BaseNamedObjects\SM0:6556:304:WilStaging_02_p0
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
14 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Semaphore
  • オブジェクト > オブジェクト名: \BaseNamedObjects\SM0:6556:304:WilStaging_02_p0h
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
15 Microsoft-Windows-Sysmon/Operational 18 Pipe Connected Pipe Connected
  • EventType: ConnectPipe
  • UtcTime: [発生日時(UTC)]
  • PipeName: \lsass
  • Image: C:\WINDOWS\system32\wsmprovhost.exe
  • User: [ドメイン名]\[ユーザー名]
16 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • UtcTime: [発生日時(UTC)]
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: C:\WINDOWS\system32\wbem\wmiprvse.exe
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: C:\WINDOWS\system32\winlogon.exe
  • GrantedAccess: 0x1400
17 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • UtcTime: [発生日時(UTC)]
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: C:\WINDOWS\system32\wbem\wmiprvse.exe
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\SearchHost.exe
  • GrantedAccess: 0x1400
18 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • UtcTime: [発生日時(UTC)]
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: C:\WINDOWS\system32\wbem\wmiprvse.exe
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: C:\Program Files\WindowsApps\MicrosoftWindows.Client.WebExperience_424.1301.270.9_x64__cw5n1h2txyewy\Dashboard\Widgets.exe
  • GrantedAccess: 0x1400
19 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • UtcTime: [発生日時(UTC)]
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: C:\WINDOWS\system32\wbem\wmiprvse.exe
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: C:\Windows\System32\RuntimeBroker.exe
  • GrantedAccess: 0x1400
20 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • UtcTime: [発生日時(UTC)]
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: C:\WINDOWS\system32\wbem\wmiprvse.exe
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: C:\WINDOWS\system32\DllHost.exe
  • GrantedAccess: 0x1400
21 Microsoft-Windows-WinRM/Operational 91 Request handling ResourceUri http://schemas.microsoft.com/wbem/wsman/1/windows/shell/cmd ([ドメイン名]\[ログオンユーザー名] clientIP: [接続元IPアドレス]) を使用してサーバーで WSMan シェルを作成しています
22 Security 4658 Registry オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
23 Security 4656 Registry オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Key
  • オブジェクト > オブジェクト名: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN
  • オブジェクト > ハンドル ID: [直前のイベント4690で複製したハンドル]
  • アクセス要求情報 > アクセス: READ_CONTROL, キー値の照会, サブキーの列挙, キー変更に関する通知
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
24 Security 4658 Registry オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
25 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Mutant
  • オブジェクト > オブジェクト名: \BaseNamedObjects\SM0:6556:304:WilStaging_02
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
26 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: -
  • オブジェクト > オブジェクト名: -
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe

オブジェクトハンドルIDは直前のイベント4674に記録されているもの。
27 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Semaphore
  • オブジェクト > オブジェクト名: \BaseNamedObjects\SM0:6556:304:WilStaging_02_p0
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
28 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Semaphore
  • オブジェクト > オブジェクト名: \BaseNamedObjects\SM0:6556:304:WilStaging_02_p0h
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
29 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Key
  • オブジェクト > オブジェクト名: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
30 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: -
  • オブジェクト > オブジェクト名: -
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe

オブジェクトハンドルIDは直前のイベント4674に記録されているもの。
31 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Key
  • オブジェクト > オブジェクト名: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
32 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: -
  • オブジェクト > オブジェクト名: -
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe

オブジェクトハンドルIDは直前のイベント4674に記録されているもの。
33 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Mutant
  • オブジェクト > オブジェクト名: \BaseNamedObjects\SM0:6556:304:WilStaging_02
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
34 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: -
  • オブジェクト > オブジェクト名: -
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
35 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Semaphore
  • オブジェクト > オブジェクト名: \BaseNamedObjects\SM0:6556:304:WilStaging_02_p0
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
36 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Semaphore
  • オブジェクト > オブジェクト名: \BaseNamedObjects\SM0:6556:304:WilStaging_02_p0h
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
37 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 5985
  • ネットワーク情報 > プロトコル: 6 (TCP)
38 Security 4776 Credential Validation コンピューターがアカウントの資格情報の確認を試行しました。
  • PackageName MICROSOFT_AUTHENTICATION_PACKAGE: V1_0
  • ログオン アカウント: [ユーザー名]
  • ソース ワークステーション: [ドメイン名]
  • エラー コード: 0x0
39 Security 4672 Special Logon 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege
40 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: S-1-0-0
  • サブジェクト > アカウント名: -
  • サブジェクト > アカウント ドメイン: -
  • サブジェクト > ログオン ID: 0x0
  • 新しいログオン > セキュリティ ID: [ユーザーSID]
  • 新しいログオン > アカウント名: [ユーザー名]
  • 新しいログオン > アカウント名: [ドメイン名]
  • 新しいログオン > ログオン ID: [ログオンID]
  • ログオン情報 > 昇格されたトークン: 特権
  • ログオン情報 > ログオン タイプ: 3
  • ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]

複数回発生、送信元ポート番号は直前のイベント5156に記録されているもの。
41 Security 4656 Other Object Access Events オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: WS-Management Listener
  • オブジェクト > オブジェクトの種類: Unknown
  • オブジェクト > オブジェクト名: Unknown
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: 不明な固有アクセス (ビット 0), 不明な固有アクセス (ビット 1), 不明な固有アクセス (ビット 2)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
42 Security 4690 Handle Manipulation オブジェクトに対するハンドルの複製が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 複製元ハンドル情報 > 複製元ハンドル ID: [複製元ハンドルID]
  • 複製元ハンドル情報 > 複製元プロセス ID: [複製元プロセスID]
  • 新しいハンドル情報 > 複製先ハンドル ID: [複製先ハンドルID]
  • 新しいハンドル情報 > 複製先プロセス ID: [複製先プロセスID]

複製元ハンドルIDは直前のイベント4656に記録されているもの。
43 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [直前のイベント4690で複製されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
44 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\__PSScriptPolicyTest_mjql0dp1.yhm.ps1
  • オブジェクト > ハンドル ID: [直前のイベント4690で複製したハンドル]
  • アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
45 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\__PSScriptPolicyTest_mjql0dp1.yhm.ps1
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
  • オブジェクト > リソース属性: S:AI
46 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
47 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\WINDOWS\system32\wsmprovhost.exe
  • TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Temp\__PSScriptPolicyTest_mjql0dp1.yhm.ps1
  • CreationUtcTime: [ファイル作成日時(UTC)]
  • User: [ドメイン名]\[ユーザー名]
48 Security 4690 Handle Manipulation オブジェクトに対するハンドルの複製が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 複製元ハンドル情報 > 複製元ハンドル ID: [複製元ハンドルID]
  • 複製元ハンドル情報 > 複製元プロセス ID: [複製元プロセスID]
  • 新しいハンドル情報 > 複製先ハンドル ID: [複製先ハンドルID]
  • 新しいハンドル情報 > 複製先プロセス ID: [複製先プロセスID]

複製元ハンドルIDは直前のイベント4656に記録されているもの。
49 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
50 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\__PSScriptPolicyTest_a2qs50nd.4b3.psm1
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: 不明な固有アクセス (ビット 0), 不明な固有アクセス (ビット 1), 不明な固有アクセス (ビット 2)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
51 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\__PSScriptPolicyTest_a2qs50nd.4b3.psm1
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
  • オブジェクト > リソース属性: S:AI
52 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
53 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\WINDOWS\system32\wsmprovhost.exe
  • TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Temp\__PSScriptPolicyTest_a2qs50nd.4b3.psm1
  • CreationUtcTime: [ファイル作成日時(UTC)]
  • User: [ドメイン名]\[ユーザー名]
54 Security 4690 Handle Manipulation オブジェクトに対するハンドルの複製が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 複製元ハンドル情報 > 複製元ハンドル ID: [複製元ハンドルID]
  • 複製元ハンドル情報 > 複製元プロセス ID: [複製元プロセスID]
  • 新しいハンドル情報 > 複製先ハンドル ID: [複製先ハンドルID]
  • 新しいハンドル情報 > 複製先プロセス ID: [複製先プロセスID]

複製元ハンドルIDは直前のイベント4656に記録されているもの。
55 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
56 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\__PSScriptPolicyTest_mjql0dp1.yhm.ps1
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: DELETE, ReadAttributes
  • PrivilegeList: SeBackupPrivilege, SeRestorePrivilege
  • RestrictedSidCount: 0
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
57 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\__PSScriptPolicyTest_mjql0dp1.yhm.ps1
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
  • オブジェクト > リソース属性: S:AI
58 Security 4660 File System オブジェクトが削除されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
  • TransactionId: {00000000-0000-0000-0000-000000000000}
59 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
60 Microsoft-Windows-Sysmon/Operational 23 File Delete archived File Delete archived
  • User: [ドメイン名]\[ユーザー名]
  • Image: C:\WINDOWS\system32\wsmprovhost.exe
  • TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Temp\__PSScriptPolicyTest_mjql0dp1.yhm.ps1
  • Hashes: [ファイルのハッシュ値]
  • IsExecutable: False
  • Archived: True
61 Security 4690 Handle Manipulation オブジェクトに対するハンドルの複製が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 複製元ハンドル情報 > 複製元ハンドル ID: [複製元ハンドルID]
  • 複製元ハンドル情報 > 複製元プロセス ID: [複製元プロセスID]
  • 新しいハンドル情報 > 複製先ハンドル ID: [複製先ハンドルID]
  • 新しいハンドル情報 > 複製先プロセス ID: [複製先プロセスID]

複製元ハンドルIDは直前のイベント4656に記録されているもの。
62 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
63 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\__PSScriptPolicyTest_a2qs50nd.4b3.psm1
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: DELETE, ReadAttributes
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
64 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\__PSScriptPolicyTest_a2qs50nd.4b3.psm1
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
  • オブジェクト > リソース属性: S:AI
65 Security 4660 File System オブジェクトが削除されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
  • TransactionId: {00000000-0000-0000-0000-000000000000}
66 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
67 Microsoft-Windows-Sysmon/Operational 23 File Delete archived File Delete archived
  • User: [ドメイン名]\[ユーザー名]
  • Image: C:\WINDOWS\system32\wsmprovhost.exe
  • TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Temp\__PSScriptPolicyTest_a2qs50nd.4b3.psm1
  • Hashes: [ファイルのハッシュ値]
  • IsExecutable: False
  • Archived: True
68 Microsoft-Windows-Sysmon/Operational 17 Pipe Created Pipe Created
  • EventType: CreatePipe
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • PipeName: \PSHost.134090484551884513.6556.DefaultAppDomain.wsmprovhost
  • Image: C:\WINDOWS\system32\wsmprovhost.exe
  • User: [ドメイン名]\[ユーザー名]
69 Microsoft-Windows-PowerShell/Operational 53504 PowerShell 名前付きパイプ IPC Windows PowerShell は、AppDomain [param2] のプロセス [param1] でIPC リッスン スレッドを開始しました。
  • param1: [プロセスID]
  • param2: [アプリケーションドメイン]
70 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Key
  • オブジェクト > オブジェクト名: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
71 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: -
  • オブジェクト > オブジェクト名: -
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe

オブジェクトハンドルIDは直前のイベント4674に記録されているもの。
72 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Key
  • オブジェクト > オブジェクト名: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
73 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: -
  • オブジェクト > オブジェクト名: -
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe

オブジェクトハンドルIDは直前のイベント4674に記録されているもの。
74 Windows PowerShell 600 プロバイダーのライフサイクル プロバイダー "[ProviderName]" は [NewProviderState] です。
  • ProviderName: Registry
  • NewProviderState: Started
  • SequenceNumber: 1
  • HostName: ServerRemoteHost
  • HostVersion: 1.0.0.0
  • HostId: [ホストID]
  • HostApplication: C:\WINDOWS\system32\wsmprovhost.exe -Embedding
75 Windows PowerShell 600 プロバイダーのライフサイクル プロバイダー "[ProviderName]" は [NewProviderState] です。
  • ProviderName: Alias
  • NewProviderState: Started
  • SequenceNumber: 3
  • HostName: ServerRemoteHost
  • HostVersion: 1.0.0.0
  • HostId: [ホストID]
  • HostApplication: C:\WINDOWS\system32\wsmprovhost.exe -Embedding
76 Windows PowerShell 600 プロバイダーのライフサイクル プロバイダー "[ProviderName]" は [NewProviderState] です。
  • ProviderName: Environment
  • NewProviderState: Started
  • SequenceNumber: 5
  • HostName: ServerRemoteHost
  • HostVersion: 1.0.0.0
  • HostId: [ホストID]
  • HostApplication: C:\WINDOWS\system32\wsmprovhost.exe -Embedding
77 Windows PowerShell 600 プロバイダーのライフサイクル プロバイダー "[ProviderName]" は [NewProviderState] です。
  • ProviderName: FileSystem
  • NewProviderState: Started
  • SequenceNumber: 7
  • HostName: ServerRemoteHost
  • HostVersion: 1.0.0.0
  • HostId: [ホストID]
  • HostApplication: C:\WINDOWS\system32\wsmprovhost.exe -Embedding
78 Windows PowerShell 600 プロバイダーのライフサイクル プロバイダー "[ProviderName]" は [NewProviderState] です。
  • ProviderName: Function
  • NewProviderState: Started
  • SequenceNumber: 9
  • HostName: ServerRemoteHost
  • HostVersion: 1.0.0.0
  • HostId: [ホストID]
  • HostApplication: C:\WINDOWS\system32\wsmprovhost.exe -Embedding
79 Windows PowerShell 600 プロバイダーのライフサイクル プロバイダー "[ProviderName]" は [NewProviderState] です。
  • ProviderName: Variable
  • NewProviderState: Started
  • SequenceNumber: 11
  • HostName: ServerRemoteHost
  • HostVersion: 1.0.0.0
  • HostId: [ホストID]
  • HostApplication: C:\WINDOWS\system32\wsmprovhost.exe -Embedding
80 Windows PowerShell 400 エンジンのライフサイクル エンジンの状態が [PreviousEngineState] から [NewEngineState] に変更されました。
  • NewEngineState: Available
  • PreviousEngineState: None
  • SequenceNumber: 13
  • HostName: ServerRemoteHost
  • HostVersion: 1.0.0.0
  • HostId: [ホストID]
  • HostApplication: C:\WINDOWS\system32\wsmprovhost.exe -Embedding
  • EngineVersion: 5.1.26100.1591
  • RunspaceId: 2b30e8dc-0b6a-4477-bcf4-c96bf2904781
81 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 5985
  • ネットワーク情報 > プロトコル: 6 (TCP)
82 Security 4776 Credential Validation コンピューターがアカウントの資格情報の確認を試行しました。
  • PackageName MICROSOFT_AUTHENTICATION_PACKAGE: V1_0
  • ログオン アカウント: [ユーザー名]
  • ソース ワークステーション: [ドメイン名]
  • エラー コード: 0x0
83 Security 4672 Special Logon 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege
84 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: S-1-0-0
  • サブジェクト > アカウント名: -
  • サブジェクト > アカウント ドメイン: -
  • サブジェクト > ログオン ID: 0x0
  • 新しいログオン > セキュリティ ID: [ユーザーSID]
  • 新しいログオン > アカウント名: [ユーザー名]
  • 新しいログオン > アカウント名: [ドメイン名]
  • 新しいログオン > ログオン ID: [ログオンID]
  • ログオン情報 > 昇格されたトークン: 特権
  • ログオン情報 > ログオン タイプ: 3
  • ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]

複数回発生、送信元ポート番号は直前のイベント5156に記録されているもの。
85 Security 4656 Other Object Access Events オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: WS-Management Listener
  • オブジェクト > オブジェクトの種類: Unknown
  • オブジェクト > オブジェクト名: Unknown
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: 不明な固有アクセス (ビット 0), 不明な固有アクセス (ビット 1), 不明な固有アクセス (ビット 2)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
86 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Key
  • オブジェクト > オブジェクト名: \REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe

複数回発生
87 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: -
  • オブジェクト > オブジェクト名: -
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe

複数回発生、オブジェクトハンドルIDは直前のイベント4674に記録されているもの。
88 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Semaphore
  • オブジェクト > オブジェクト名: \BaseNamedObjects\SM0:6556:304:WilStaging_02_p0
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
89 Security 4674 Sensitive Privilege Use 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Semaphore
  • オブジェクト > オブジェクト名: \BaseNamedObjects\SM0:6556:304:WilStaging_02_p0h
  • 要求された操作 > 特権: SeTakeOwnershipPrivilege
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
90 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\WINDOWS\system32\wsmprovhost.exe
  • TargetObject: HKU\[ユーザーSID]\Software\Microsoft\SystemCertificates 配下の複数キー・値
  • User: [ドメイン名]\[ユーザー名]
91 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\WINDOWS\system32\wsmprovhost.exe
  • TargetObject: HKU\[ユーザーSID]\Software\Policies\Microsoft\SystemCertificates 配下の複数キー・値
  • User: [ドメイン名]\[ユーザー名]
92 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\WINDOWS\system32\wsmprovhost.exe
  • TargetObject: HKLM\SOFTWARE\Microsoft\SystemCertificates 配下の複数キー・値
  • User: [ドメイン名]\[ユーザー名]
93 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\WINDOWS\system32\wsmprovhost.exe
  • TargetObject: HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates 配下の複数キー・値
  • User: [ドメイン名]\[ユーザー名]
94 Security 4690 Handle Manipulation オブジェクトに対するハンドルの複製が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 複製元ハンドル情報 > 複製元ハンドル ID: [複製元ハンドルID]
  • 複製元ハンドル情報 > 複製元プロセス ID: [複製元プロセスID]
  • 新しいハンドル情報 > 複製先ハンドル ID: [複製先ハンドルID]
  • 新しいハンドル情報 > 複製先プロセス ID: [複製先プロセスID]

複製元ハンドルIDは直前のイベント4656に記録されているもの。
95 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
96 Security 4656 Registry オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Key
  • オブジェクト > オブジェクト名: \REGISTRY\MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: DELETE, READ_CONTROL, キー値の照会, キー値の設定, サブキーの作成, サブキーの列挙, キー変更に関する通知
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
97 Security 4658 Registry オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
98 Security 4690 Handle Manipulation オブジェクトに対するハンドルの複製が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 複製元ハンドル情報 > 複製元ハンドル ID: [複製元ハンドルID]
  • 複製元ハンドル情報 > 複製元プロセス ID: [複製元プロセスID]
  • 新しいハンドル情報 > 複製先ハンドル ID: [複製先ハンドルID]
  • 新しいハンドル情報 > 複製先プロセス ID: [複製先プロセスID]

複製元ハンドルIDは直前のイベント4656に記録されているもの。
99 Security 4658 Registry オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
100 Security 4656 Registry オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Key
  • オブジェクト > オブジェクト名: \REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: DELETE, READ_CONTROL, キー値の照会, キー値の設定, サブキーの作成, サブキーの列挙, キー変更に関する通知
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
101 Security 4658 Registry オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
102 Security 4690 Handle Manipulation オブジェクトに対するハンドルの複製が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 複製元ハンドル情報 > 複製元ハンドル ID: [複製元ハンドルID]
  • 複製元ハンドル情報 > 複製元プロセス ID: [複製元プロセスID]
  • 新しいハンドル情報 > 複製先ハンドル ID: [複製先ハンドルID]
  • 新しいハンドル情報 > 複製先プロセス ID: [複製先プロセスID]

複製元ハンドルIDは直前のイベント4656に記録されているもの。
103 Security 4658 Registry オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
104 Security 4656 Registry オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Key
  • オブジェクト > オブジェクト名: \REGISTRY\MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\Root\Certificates
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: DELETE, READ_CONTROL, キー値の照会, キー値の設定, サブキーの作成, サブキーの列挙, キー変更に関する通知
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
105 Security 4658 Registry オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
106 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\WINDOWS\system32\wsmprovhost.exe
  • TargetObject: HKLM\SOFTWARE\Microsoft\EnterpriseCertificates 配下の複数キー・値
  • User: [ドメイン名]\[ユーザー名]
107 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • Initiated: False
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 5985

複数回発生
108 Security 4690 Handle Manipulation オブジェクトに対するハンドルの複製が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 複製元ハンドル情報 > 複製元ハンドル ID: [複製元ハンドルID]
  • 複製元ハンドル情報 > 複製元プロセス ID: [複製元プロセスID]
  • 新しいハンドル情報 > 複製先ハンドル ID: [複製先ハンドルID]
  • 新しいハンドル情報 > 複製先プロセス ID: [複製先プロセスID]

複製元ハンドルIDは直前のイベント4656に記録されているもの。
109 Security 4658 Registry オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [ハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
110 Security 4656 Registry オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: Key
  • オブジェクト > オブジェクト名: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: READ_CONTROL, キー値の照会, サブキーの列挙, キー変更に関する通知
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wsmprovhost.exe
111 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 5985
  • ネットワーク情報 > プロトコル: 6 (TCP)
112 Windows PowerShell 403 エンジンのライフサイクル エンジンの状態が [PreviousEngineState] から [NewEngineState] に変更されました。
  • NewEngineState: Stopped
  • PreviousEngineState: Available
  • SequenceNumber: 15
  • HostName: ServerRemoteHost
  • HostVersion: 1.0.0.0
  • HostId: [ホストID]
  • HostApplication: C:\WINDOWS\system32\wsmprovhost.exe -Embedding
  • EngineVersion: 5.1.26100.1591
  • RunspaceId: 2b30e8dc-0b6a-4477-bcf4-c96bf2904781
113 Security 4776 Credential Validation コンピューターがアカウントの資格情報の確認を試行しました。
  • PackageName MICROSOFT_AUTHENTICATION_PACKAGE: V1_0
  • ログオン アカウント: [ユーザー名]
  • ソース ワークステーション: [ドメイン名]
  • エラー コード: 0x0
114 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: S-1-0-0
  • サブジェクト > アカウント名: -
  • サブジェクト > アカウント ドメイン: -
  • サブジェクト > ログオン ID: 0x0
  • 新しいログオン > セキュリティ ID: [ユーザーSID]
  • 新しいログオン > アカウント名: [ユーザー名]
  • 新しいログオン > アカウント名: [ドメイン名]
  • 新しいログオン > ログオン ID: [ログオンID]
  • ログオン情報 > 昇格されたトークン: 特権
  • ログオン情報 > ログオン タイプ: 3
  • ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]

複数回発生、送信元ポート番号は直前のイベント5156に記録されているもの。
115 Security 4672 Special Logon 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege
116 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • Initiated: False
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 5985

複数回発生
117 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 5985
  • ネットワーク情報 > プロトコル: 6 (TCP)

複数回発生
118 Security 4776 Credential Validation コンピューターがアカウントの資格情報の確認を試行しました。
  • PackageName MICROSOFT_AUTHENTICATION_PACKAGE: V1_0
  • ログオン アカウント: [ユーザー名]
  • ソース ワークステーション: [ドメイン名]
  • エラー コード: 0x0

複数回発生
119 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: S-1-0-0
  • サブジェクト > アカウント名: -
  • サブジェクト > アカウント ドメイン: -
  • サブジェクト > ログオン ID: 0x0
  • 新しいログオン > セキュリティ ID: [ユーザーSID]
  • 新しいログオン > アカウント名: [ユーザー名]
  • 新しいログオン > アカウント名: [ドメイン名]
  • 新しいログオン > ログオン ID: [ログオンID]
  • ログオン情報 > 昇格されたトークン: 特権
  • ログオン情報 > ログオン タイプ: 3
  • ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]

複数回発生、送信元ポート番号は直前のイベント5156に記録されているもの。
120 Security 4672 Special Logon 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege

複数回発生
121 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\wsmprovhost.exe
  • User: [ドメイン名]\[ユーザー名]
122 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\WSMPROVHOST.EXE-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
123 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\WSMPROVHOST.EXE-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
124 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
125 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\WINDOWS\system32\svchost.exe
  • TargetFilename: C:\Windows\Prefetch\WSMPROVHOST.EXE-[ハッシュ値].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]
126 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • Initiated: False
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 5985

複数回発生

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 WSMPROVHOST.EXE-[ハッシュ値].pf WSMPROVHOST.EXE \VOLUME{01dc48a41be32910-f81be9cd}\WINDOWS\SYSTEM32\WSMPROVHOST.EXE

MFT

# パス ヘッダフラグ 備考
1 .\Windows\Prefetch\WSMPROVHOST.EXE-[ハッシュ値].pf FILE ALLOCATED

USNジャーナル

# ファイル名 処理 備考
1 WSMPROVHOST.EXE-[ハッシュ値].pf
  • CREATE
  • EXTEND
  • CLOSE
 ARCHIVE|NOINDEX

- パケット

# オペレーション 接続元ホスト 接続元ポート番号 接続先ホスト 接続先ポート プロトコル アプリケーション 備考
1 POST /wsman?PSVersion=5.1.26100.1591 HTTP/1.1 , NTLMSSP_NEGOTIATE [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 5985 tcp HTTP
2 HTTP/1.1 401 , NTLMSSP_CHALLENGE [接続先IPアドレス] 5985 [接続元IPアドレス] [接続元ポート番号] tcp HTTP
3 POST /wsman?PSVersion=5.1.26100.1591 HTTP/1.1 , NTLMSSP_AUTH, User: [ドメイン名]\\[ユーザー名] (application/http-spnego-session-encrypted) [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 5985 tcp HTTP
4 HTTP/1.1 200 (application/http-spnego-session-encrypted) [接続先IPアドレス] 5985 [接続元IPアドレス] [接続元ポート番号] tcp HTTP
5 POST /wsman?PSVersion=5.1.26100.1591 HTTP/1.1 , NTLMSSP_NEGOTIATE [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 5985 tcp HTTP
6 HTTP/1.1 401 , NTLMSSP_CHALLENGE [接続先IPアドレス] 5985 [接続元IPアドレス] [接続元ポート番号] tcp HTTP
7 POST /wsman?PSVersion=5.1.26100.1591 HTTP/1.1 , NTLMSSP_AUTH, User: [ドメイン名]\\[ユーザー名] (application/http-spnego-session-encrypted) [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 5985 tcp HTTP
8 HTTP/1.1 200 (application/http-spnego-session-encrypted) [接続先IPアドレス] 5985 [接続元IPアドレス] [接続元ポート番号] tcp HTTP
9 POST /wsman?PSVersion=5.1.26100.1591 HTTP/1.1 (application/http-spnego-session-encrypted) [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 5985 tcp HTTP
10 HTTP/1.1 200 (application/http-spnego-session-encrypted) [接続先IPアドレス] 5985 [接続元IPアドレス] [接続元ポート番号] tcp HTTP

- 備考