dcdiag

- 目次

全てのセクションを開く | 全てのセクションを閉じる


- ツール概要

カテゴリ
情報収集
説明
ドメインコントローラーの状態を分析・調査する。
攻撃時における想定利用例
ドメインコントローラーの問題を調査し、それを利用して攻撃手法を検討する。

- ツール動作概要

項目 内容
OS Windows Server
ドメインへの所属 不要
権限 管理ユーザー
サービス Active Directory Domain Services

- ログから得られる情報

標準設定
  • ホスト
    • 実行履歴 (Prefetch)
追加設定
  • ホスト
    • dcdiag.exeを実行したこと、及び実行したテストの内容 (Sysmon)

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- ドメインコントローラー

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
  • CommandLine: 実行コマンドのコマンドライン (オプションより、実行したテストの内容が確認可能)
  • User: 実行ユーザー
2 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (ポートは389,135,ハイポート)
  • Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号
  • User: 実行ユーザー
3 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (53)
  • Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
  • Protocol: プロトコル (udp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号
  • User: 実行ユーザー
4 セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)

- 詳細:ドメインコントローラー

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • CommandLine: 実行コマンドのコマンドライン (オプションより、実行したテストの内容が確認可能)
  • Hashes: 実行ファイルのハッシュ値
  • Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
  • LogonGuid/LogonId: ログオンセッションのID
  • ParentCommandLine: 親プロセスのコマンドライン
  • ParentImage: 親プロセスの実行ファイル
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ProcessGuid/ProcessId: プロセスID
  • User: 実行ユーザー
  • UtcTime: プロセス実行日時 (UTC)
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • ログの日時: プロセス実行日時 (ローカル時刻)
2 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • DestinationIp: 宛先IPアドレス
  • DestinationHostname: 宛先ホスト名
  • DestinationPort: 宛先ポート番号 (389)
  • Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
  • ProcessGuid/ProcessId: プロセスID
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス
  • SourceHostname: 送信元ホスト名
  • SourcePort: 送信元ポート番号
  • User: 実行ユーザー
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
3 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • DestinationIp: 宛先IPアドレス
  • DestinationHostname: 宛先ホスト名
  • DestinationPort: 宛先ポート番号 (135)
  • Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
  • ProcessGuid/ProcessId: プロセスID
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス
  • SourceHostname: 送信元ホスト名
  • SourcePort: 送信元ポート番号
  • User: 実行ユーザー
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (135)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (135)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • DestinationIp: 宛先IPアドレス
  • DestinationHostname: 宛先ホスト名
  • DestinationPort: 宛先ポート番号 (ハイポート)
  • Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
  • ProcessGuid/ProcessId: プロセスID
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス
  • SourceHostname: 送信元ホスト名
  • SourcePort: 送信元ポート番号 (ハイポート)
  • User: 実行ユーザー
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
5 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • DestinationIp: 宛先IPアドレス
  • DestinationHostname: 宛先ホスト名
  • DestinationPort: 宛先ポート番号 (直前のSysmonイベントID: 3におけるSourcePort)
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • ProcessGuid/ProcessId: プロセスID
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス
  • SourceHostname: 送信元ホスト名
  • SourcePort: 送信元ポート番号 (直前のSysmonイベントID: 3におけるDestinationPort)
  • User: 実行ユーザー
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
6 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • DestinationIp: 宛先IPアドレス
  • DestinationHostname: 宛先ホスト名
  • DestinationPort: 宛先ポート番号 (389)
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • ProcessGuid/ProcessId: プロセスID
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス
  • SourceHostname: 送信元ホスト名
  • SourcePort: 送信元ポート番号 (ハイポート)
  • User: 実行ユーザー
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
7 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • DestinationIp: 宛先IPアドレス
  • DestinationHostname: 宛先ホスト名
  • DestinationPort: 宛先ポート番号 (ハイポート)
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • ProcessGuid/ProcessId: プロセスID
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス
  • SourceHostname: 送信元ホスト名
  • SourcePort: 送信元ポート番号 (389)
  • User: 実行ユーザー
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
8 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • DestinationIp: 宛先IPアドレス
  • DestinationHostname: 宛先ホスト名
  • DestinationPort: 宛先ポート番号 (53)
  • Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
  • ProcessGuid/ProcessId: プロセスID
  • Protocol: プロトコル (udp)
  • SourceIp: 送信元IPアドレス
  • SourceHostname: 送信元ホスト名
  • SourcePort: 送信元ポート番号 (ハイポート)
  • User: 実行ユーザー
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dcdiag.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (53)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (17=UDP)
9 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • DestinationIp: 宛先IPアドレス
  • DestinationHostname: 宛先ホスト名
  • DestinationPort: 宛先ポート番号 (ハイポート)
  • Image: 実行ファイルのパス (C:\Windows\System32\dns.exe)
  • ProcessGuid/ProcessId: プロセスID
  • Protocol: プロトコル (udp)
  • SourceIp: 送信元IPアドレス
  • SourceHostname: 送信元ホスト名
  • SourcePort: 送信元ポート番号 (53)
  • User: 実行ユーザー
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\dns.exe)
  • ネットワーク情報 > 方向: 通信方向 (受信/許諾)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (53)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (17=UDP)
10 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\dcdiag.exe)

- 備考