| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: C:\Windows\System32\dcdiag.exe
- プロセス情報 > 作成元プロセス ID: [親プロセスID]
- プロセス情報 > プロセスのコマンド ライン: "C:\WINDOWS\system32\dcdiag.exe" [実行内容]
- プロセス情報 > 必須ラベル: Mandatory Label\High Mandatory Level
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\dcdiag.exe
- FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
- CommandLine: "C:\WINDOWS\system32\dcdiag.exe" [コマンドライン]
- CurrentDirectory: [作業ディレクトリ]
- User: [ドメイン名]\[ユーザー名]
- LogonId: [ログオンID]
- IntegrityLevel: High
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスID]
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\dcdiag.exe
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\dcdiag.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [ドメインコントローラーIPアドレス]
- ネットワーク情報 > 宛先ポート: 135, 389, 445, [ドメインコントローラーポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\dcdiag.exe
- User: [ドメイン名]\[ユーザー名]
- Protocol: tcp
- Initiated: True
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 135, 389, 445, [接続先ポート番号]
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\lsass.exe
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\lsass.exe
- ネットワーク情報 > 方向: 着信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [ドメインコントローラーIPアドレス]
- ネットワーク情報 > 宛先ポート: 389
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\lsass.exe
- User: [ドメイン名]\[ユーザー名]
- Protocol: tcp
- Initiated: True
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 389
|
| Security |
5140 |
File Share |
ネットワーク共有オブジェクトにアクセスしました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\IPC$
- アクセス要求情報 > アクセス: ReadData (または ListDirectory)
|
| Security |
4624 |
Logon |
アカウントが正常にログオンしました。
- 新しいログオン > セキュリティ ID: SYSTEM
- 新しいログオン > アカウント名: [コンピューターアカウント]
- 新しいログオン > アカウント名: [ドメイン名]
- 新しいログオン > ログオン ID: [ログオンID]
- ログオン情報 > ログオン タイプ: 3
- 詳細な認証情報 > ログオン プロセス: Kerberos
- 詳細な認証情報 > 認証パッケージ: Kerberos
- ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
- ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
|
| Security |
5140 |
File Share |
ネットワーク共有オブジェクトにアクセスしました。
- サブジェクト > セキュリティ ID: SYSTEM
- サブジェクト > アカウント名: [コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\SYSVOL
- 共有情報 > 共有パス: \??\C:\WINDOWS\SYSVOL\sysvol
- アクセス要求情報 > アクセス: ReadData (または ListDirectory)
|
| Security |
5145 |
Detailed File Share |
クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
- サブジェクト > セキュリティ ID: SYSTEM
- サブジェクト > アカウント名: [コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト情報 > オブジェクトの種類: File
- オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
- オブジェクト情報 > ソース ポート: [接続元ポート番号]
- 共有情報 > 共有名: \\*\SYSVOL
- 共有情報 > 共有パス: \??\C:\WINDOWS\SYSVOL\sysvol
- 共有情報 > 相対ターゲット名: [ドメイン名]\StarterGPOs 他
- アクセス要求情報 > アクセス: READ_CONTROL, ReadAttributes
sysvol配下のファイルに対して複数発生する。 |
| Security |
4689 |
Process Termination |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 終了状態: 0x0
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\dcdiag.exe
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\dcdiag.exe
- User: [ドメイン名]\[ユーザー名]
|