| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [プロセスID]
- プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
- プロセス情報 > プロセスのコマンド ライン: [実行ファイルのパス] -u
- Mandatory Label: Mandatory Label\High Mandatory Level
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [プロセス実行日時(UTC)]
- ProcessId: [プロセスID]
- Image: [実行ファイルのパス]
- CommandLine: [実行ファイルのパス] -u
- CurrentDirectory: [作業ディレクトリ]
- User: [ドメイン名]\[ユーザー名]
- LogonId: [ログオンID]
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスのプロセスID]
|
| Microsoft-Windows-Sysmon/Operational |
7 |
Image loaded |
Image loaded.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- ImageLoaded: [読み取ったDLLファイルなど]
- FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルなどのメタデータ]
- User: [ドメイン名]\[ユーザー名]
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- CreationUtcTime: [ファイル作成日時(UTC)]
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
29 |
File Executable Detected |
File Executable Detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- Hashes: [実行ファイルのハッシュ値]
|
| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [プロセスID]
- プロセス情報 > 新しいプロセス名: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- Mandatory Label: Mandatory Label\High Mandatory Level
- プロセス情報 > 作成元プロセス名: [実行ファイルのパス] -u
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
- CommandLine: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- CurrentDirectory: [作業ディレクトリ]
- User: [ドメイン名]\[ユーザー名]
- LogonId: [ログオンID]
- Hashes: [g64-7a3.exeのハッシュ値]
- ParentProcessId: [実行ファイルのプロセスID]
- ParentImage: [実行ファイルのパス]
- ParentCommandLine: [実行ファイルのパス] -u
- ParentUser: [実行ファイルの実行ユーザ]
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed |
Process accessed.
- UtcTime: [発生日時(UTC)]
- SourceProcessId: [アクセス元プロセスID]
- SourceThreadId: [アクセス元スレッドID]
- SourceImage: [実行ファイルのパス]
- TargetProcessId: [アクセス先プロセスID]
- TargetImage: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- GrantedAccess: 0x1FFFFF
|
| Microsoft-Windows-Sysmon/Operational |
7 |
Image loaded |
Image loaded.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- ImageLoaded: [読み取ったDLLファイルなど]
- FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルなどのメタデータ]
- User: [ドメイン名]\[ユーザー名]
|
| Security |
4703 |
Token Right Adjusted Events |
ユーザー権限が調整されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- ターゲット アカウント > セキュリティ ID: [ユーザーSID]
- ターゲット アカウント > アカウント名: [ユーザー名]
- ターゲット アカウント > アカウント ドメイン: [ドメイン名]
- ターゲット アカウント > ログオン ID: [ログオンID]
- プロセス情報 > プロセス名: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- プロセス情報 > プロセス ID: [プロセスID]
- 有効にされた特権: SeDebugPrivilege
|
| Microsoft-Windows-Sysmon/Operational |
17 |
Pipe Created |
Pipe Created
- EventType: CreatePipe
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- PipeName: <Anonymous Pipe>
- Image: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
18 |
Pipe Connected |
Pipe Connected
- UtcTime: [発生日時(UTC)]
- PipeName: <Anonymous Pipe>
- Image: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- User: [ドメイン名]\[ユーザー名]
|
| Security |
4656 |
Kernel Object |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: Process
- オブジェクト > オブジェクト名: \Device\HarddiskVolume[ボリューム番号]\Windows\System32\lsass.exe
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: プロセス内の新しいスレッドの作成, 仮想メモリ操作の実行, プロセス メモリからの読み取り, プロセス メモリへの書き込み, プロセスとの間のハンドルの複製, プロセス情報の照会, 未定義のアクセス (影響なし) ビット 12
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
|
| Security |
4663 |
Kernel Object |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: Process
- オブジェクト > オブジェクト名: \Device\HarddiskVolume[ボリューム番号]\Windows\System32\lsass.exe
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: プロセス メモリからの読み取り
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
|
| Microsoft-Windows-Sysmon/Operational |
8 |
CreateRemoteThread detected |
CreateRemoteThread detected
- UtcTime: [発生日時(UTC)]
- SourceImage: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- TargetImage: C:\Windows\System32\lsass.exe
- SourceUser: [ドメイン名]\[ユーザー名]
- TargetUser: NT AUTHORITY\SYSTEM
|
| Security |
4658 |
Kernel Object |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
|
| Security |
4689 |
Process Termination |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- プロセス情報 > 終了状態: 0x0
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- User: [ドメイン名]\[ユーザー名]
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\G64-7A3.EXE-[ハッシュ値].pf
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\G64-7A3.EXE-[ハッシュ値].pf
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\WINDOWS\system32\svchost.exe
- TargetFilename: C:\Windows\Prefetch\G64-7A3.EXE-[ハッシュ値].pf
- CreationUtcTime: [ファイル作成日時(UTC)]
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: DELETE, ReadAttributes
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: DELETE
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4660 |
File System |
オブジェクトが削除されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
23 |
File Delete archived |
File Delete archived
- User: [ドメイン名]\[ユーザー名]
- Image: [実行ファイルのパス]
- TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Temp\g64-7a3.exe
- Hashes: [ファイルのハッシュ値]
- IsExecutable: True
- Archived: True
|
| Security |
4689 |
Process Termination |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
- プロセス情報 > 終了状態: 0x0
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: [実行ファイルのパス]
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\system32\svchost.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\svchost.exe
- TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
- CreationUtcTime: [ファイル作成日時(UTC)]
|