| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
- プロセス情報 > プロセスのコマンド ライン: [実行ファイルのパス] [オプション]
- プロセス情報 > 作成元プロセス ID: [親プロセスID]
- プロセス情報 > 作成元プロセス名: [親プロセスのパス]
CommandLineにおいて、"-f"オプションで出力ファイル名が分かる。また、フィルターを使用した場合はフィルター条件も分かる |
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- CommandLine: [実行ファイルのパス] [オプション]
- CurrentDirectory: [作業ディレクトリ]
- User: [実行ユーザー]
- LogonId: [ログオンID]
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスID]
- ParentImage: [親プロセスのパス]
- ParentCommandLine: [親プロセスのコマンドライン]
CommandLineにおいて、"-f"オプションで出力ファイル名が分かる。また、フィルターを使用した場合はフィルター条件も分かる |
| Microsoft-Windows-Sysmon/Operational |
18 |
Pipe Connected |
Pipe Connected
- EventType: ConnectPipe
- ProcessId: [プロセスID]
- PipeName: \lsass
- Image: [実行ファイルのパス]
- User: [実行ユーザー]
- UtcTime: [発生日時(UTC)]
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- TargetObject: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 17 (UDP)
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > ソース ポート: 389
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume3\windows\system32\lsass.exe
- ネットワーク情報 > 方向: 着信
- ネットワーク情報 > ソース ポート: 389
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Temp\csv[ランダムな16進値].tmp
- CreationUtcTime: [ファイル作成日時(UTC)]
|
| Microsoft-Windows-Sysmon/Operational |
23 |
File Delete archived |
File Delete archived
- Image: [実行ファイルのパス]
- TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Temp\csv[ランダムな16進値].tmp
- Hashes: [削除されたファイルのハッシュ値]
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- TargetFilename: [検体実行時に"-f"オプションで指定されたCSVファイル]
- CreationUtcTime: [ファイル作成日時(UTC)]
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
|
| Security |
4689 |
Process Termination |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|