1 |
Microsoft-Windows-Sysmon/Operational |
1 |
Process Create (rule: ProcessCreate) |
Process Create.
- CommandLine: 実行コマンドのコマンドライン (オプションより、実行したテストの内容が確認可能)
- Hashes: 実行ファイルのハッシュ値
- Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
- LogonGuid/LogonId: ログオンセッションのID
- ParentCommandLine: 親プロセスのコマンドライン
- ParentImage: 親プロセスの実行ファイル
- ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
- ProcessGuid/ProcessId: プロセスID
- User: 実行ユーザー
- UtcTime: プロセス実行日時 (UTC)
|
セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
- プロセス情報 > 新しいプロセスID: プロセスID (16進数)
- プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
- プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
- プロセス情報 > 必須ラベル: 権限昇格の要否
- ログの日時: プロセス実行日時 (ローカル時刻)
|
2 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- DestinationIp: 宛先IPアドレス
- DestinationHostname: 宛先ホスト名
- DestinationPort: 宛先ポート番号 (389)
- Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
- ProcessGuid/ProcessId: プロセスID
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス
- SourceHostname: 送信元ホスト名
- SourcePort: 送信元ポート番号
- User: 実行ユーザー
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > 方向: 通信方向 (着信)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
3 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- DestinationIp: 宛先IPアドレス
- DestinationHostname: 宛先ホスト名
- DestinationPort: 宛先ポート番号 (135)
- Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
- ProcessGuid/ProcessId: プロセスID
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス
- SourceHostname: 送信元ホスト名
- SourcePort: 送信元ポート番号
- User: 実行ユーザー
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (135)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
- ネットワーク情報 > 方向: 通信方向 (着信)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (135)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
4 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- DestinationIp: 宛先IPアドレス
- DestinationHostname: 宛先ホスト名
- DestinationPort: 宛先ポート番号 (ハイポート)
- Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
- ProcessGuid/ProcessId: プロセスID
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス
- SourceHostname: 送信元ホスト名
- SourcePort: 送信元ポート番号 (ハイポート)
- User: 実行ユーザー
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
5 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- DestinationIp: 宛先IPアドレス
- DestinationHostname: 宛先ホスト名
- DestinationPort: 宛先ポート番号 (直前のSysmonイベントID: 3におけるSourcePort)
- Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
- ProcessGuid/ProcessId: プロセスID
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス
- SourceHostname: 送信元ホスト名
- SourcePort: 送信元ポート番号 (直前のSysmonイベントID: 3におけるDestinationPort)
- User: 実行ユーザー
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > 方向: 通信方向 (着信)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
6 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- DestinationIp: 宛先IPアドレス
- DestinationHostname: 宛先ホスト名
- DestinationPort: 宛先ポート番号 (389)
- Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
- ProcessGuid/ProcessId: プロセスID
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス
- SourceHostname: 送信元ホスト名
- SourcePort: 送信元ポート番号 (ハイポート)
- User: 実行ユーザー
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
7 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- DestinationIp: 宛先IPアドレス
- DestinationHostname: 宛先ホスト名
- DestinationPort: 宛先ポート番号 (ハイポート)
- Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
- ProcessGuid/ProcessId: プロセスID
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス
- SourceHostname: 送信元ホスト名
- SourcePort: 送信元ポート番号 (389)
- User: 実行ユーザー
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > 方向: 通信方向 (着信)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
8 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- DestinationIp: 宛先IPアドレス
- DestinationHostname: 宛先ホスト名
- DestinationPort: 宛先ポート番号 (53)
- Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
- ProcessGuid/ProcessId: プロセスID
- Protocol: プロトコル (udp)
- SourceIp: 送信元IPアドレス
- SourceHostname: 送信元ホスト名
- SourcePort: 送信元ポート番号 (ハイポート)
- User: 実行ユーザー
|
セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (53)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (17=UDP)
|
9 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- DestinationIp: 宛先IPアドレス
- DestinationHostname: 宛先ホスト名
- DestinationPort: 宛先ポート番号 (ハイポート)
- Image: 実行ファイルのパス (C:\Windows\System32\dns.exe)
- ProcessGuid/ProcessId: プロセスID
- Protocol: プロトコル (udp)
- SourceIp: 送信元IPアドレス
- SourceHostname: 送信元ホスト名
- SourcePort: 送信元ポート番号 (53)
- User: 実行ユーザー
|
セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dns.exe)
- ネットワーク情報 > 方向: 通信方向 (受信/許諾)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (53)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (17=UDP)
|
10 |
Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated (rule: ProcessTerminate) |
Process terminated.
- UtcTime: プロセス終了日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
|
セキュリティ |
4689 |
プロセス終了 |
プロセスが終了しました。
- ログの日時: プロセス終了日時 (ローカル時刻)
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
|