RDP (Remote Desktop Protocol)

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
リモートログイン
説明
リモートデスクトップサービスが稼働しているサーバーに接続する。
攻撃時における想定利用例
接続したホスト上でファイルを閲覧したり、他のホストに接続するための情報を収集したり、他のホストに接続する踏み台として利用する。

- ツール動作概要

項目 接続元 接続先
OS Windows
権限 標準ユーザー
サービス - Remote Desktop Services 他
ドメインへの所属 不要
通信プロトコル 3389/tcp

- ログから得られる情報

標準設定
  • 接続元
    • 実行履歴 (Prefetch)
    • RDPセッションの接続開始・終了日時、接続元IPアドレス、ログインされたユーザー名及びアカウントドメイン、接続の成否 (Microsoft-Windows-TerminalServices-RDPClient/Operational ログ)
  • 接続先
    • RDPセッションの接続開始・終了日時、接続元IPアドレス、ログインされたユーザー名及びアカウントドメイン、接続の成否 (Microsoft-Windows-TerminalServices-LocalSessionManager/Operational, Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational ログ)
追加設定
  • 接続元
    • 実行履歴 (監査ポリシー, Sysmon)
    • 3389/tcpを使用した通信 (監査ポリシー, Sysmon)
  • 接続先
    • 3389/tcpを使用した通信 (監査ポリシー, Sysmon)

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\mstsc.exe)
  • CommandLine: 実行コマンドのコマンドライン
  • User: 実行ユーザー
2 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client 配下)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\mstsc.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteAttributesを含む)
3 Microsoft-Windows-TerminalServices-RDPClient/Operational 1024 接続シーケンス RDP ClientActiveX がサーバー ([接続先ホスト名]) に接続しようとしています
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\mstsc.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (接続先 ポート3389)
5 セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\[ユーザー名]\Documents\Default.rdp)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\mstsc.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
6 Microsoft-Windows-TerminalServices-RDPClient/Operational 1026 接続シーケンス RDP ClientActiveX が切断しました (理由 = [理由])
  • 理由: (1)

MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client\Cache\bcache[数字].bmc FILE ALLOCATED
2 [ドライブ名]:\Users\[ユーザー名]\Documents\Default.rdp FILE ALLOCATED

Prefetch

レジストリエントリ

# パス
1 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Default\MRU0 [接続先]
2 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Servers\[ターゲットホスト]\UsernameHint [ユーザー名]
3 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\JumplistData\Microsoft.Windows.RemoteDesktop (String)
4 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\Zvpebfbsg.Jvaqbjf.ErzbgrQrfxgbc (String)

UserAssist

# Registry Data
1 \REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\Zvpebfbsg.Jvaqbjf.ErzbgrQrfxgbc 初回実行日時、累計実行回数

USNジャーナル

# ファイル名 処理
1 Terminal Server Client CLOSE+FILE_CREATE
2 bcache[数字].bmc CLOSE+DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE
3 Default.rdp CLOSE+DATA_EXTEND+DATA_TRUNCATION

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (接続先 ポート3389)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号
2 Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational 261 TerminalServices-RemoteConnectionManager リスナー RDP-Tcp で接続を受信しました
3 Microsoft-Windows-TerminalServices-LocalSessionManager/Operational 25 TerminalServices-LocalSessionManager リモート デスクトップ サービス: セッションの再接続に成功しましたリモートデスクトップにより、セッションに再接続された。
4 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン (SYSTEM/[接続先ホスト]$/ドメイン)
  • ログオンの種類: ログオンの経路・方式など (10=ターミナルサービス・リモートデスクトップ)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\winlogon.exe)
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名 (接続先ホスト)
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 接続元ポート番号 (ハイポート)
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (User32)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Negotiate)
5 セキュリティ 4648 ログオン 明示的な資格情報を使用してログオンが試行された。
  • サブジェクト > セキュリティID: 実行したユーザーSID
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID/ログオンGUID: 認証を実行したユーザーのセッションID
  • 資格情報が使用されたアカウント > アカウント名: 指定されたアカウント名
  • 資格情報が使用されたアカウント > アカウント ドメイン: 指定されたアカウントの所属ドメイン
  • ターゲット サーバー > ターゲット サーバー名: ログオン先ホスト名 (接続先ホスト)
  • ターゲット サーバー > 追加情報: ログオン先ホストの追加情報 (TERMSRV/[接続先ホスト])
  • プロセス情報 > プロセス名: ログオンを試行したプロセス名 (C:\Windows\System32\lsass.exe)
6 Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational 1149 TerminalServices-RemoteConnectionManager リモート デスクトップ サービス: ユーザー認証に成功しました
  • ユーザー: セッションを使用していたユーザー
  • ドメイン: ユーザーのドメイン
  • ソース ネットワーク アドレス: セッションの接続元アドレス
7 セキュリティ 4779 その他のログオン/ログオフ イベント セッションは Window Station から切断されました。
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID: 登録を試行したユーザーのセッションID
  • セッション > セッション名: セッションの識別名 (RDP-Tcp#[番号])
  • 追加情報 > クライアント名: 実行元ホスト名 (接続元ホスト名)
  • 追加情報 > クライアント アドレス: 実行元アドレス (接続元IPアドレス)

Prefetch

- 詳細:接続元

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\mstsc.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否 (Mandatory Label\Medium Mandatory Level)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\mstsc.exe)
  • CommandLine: 実行コマンドのコマンドライン
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
2 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\mstsc.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\Location Awareness
3 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\system32\mstsc.exe)
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client\Cache)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client\Cache)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\mstsc.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (SYNCHRONIZE, WriteAttributesを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client\Cache)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\mstsc.exe)
  • アクセス要求情報 > アクセス: 要求された権限
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteAttributesを含む)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
4 Microsoft-Windows-TerminalServices-RDPClient/Operational 1024 接続シーケンス RDP ClientActiveX がサーバー ([接続先ホスト名]) に接続しようとしています
Microsoft-Windows-TerminalServices-RDPClient/Operational 1028 接続シーケンス サーバーで SSL = supported がサポートされています
5 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\mstsc.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters)
6 Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\Zvpebfbsg.Jvaqbjf.ErzbgrQrfxgbc)
  • Details: レジストリに書き込まれた設定値 (Binary Data)
7 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\mstsc.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (3389)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\mstsc.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\mstsc.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (3389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
8 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\MSTSC.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\MSTSC.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
9 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\mstsc.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL)
10 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
11 Microsoft-Windows-TerminalServices-RDPClient/Operational 1029 接続シーケンス Base64(SHA256(UserName)) is = [ユーザー名のSHA256ハッシュ値をBASE64エンコードしたもの]
Microsoft-Windows-TerminalServices-RDPClient/Operational 1025 接続シーケンス RDP ClientActiveX がサーバーに接続しました
12 セキュリティ 4648 ログオン 明示的な資格情報を使用してログオンが試行された。
  • サブジェクト > セキュリティID: 実行したユーザーSID
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID/ログオンGUID: 認証を実行したユーザーのセッションID
  • 資格情報が使用されたアカウント > アカウント名: 指定されたアカウント名
  • 資格情報が使用されたアカウント > アカウント ドメイン: 指定されたアカウントの所属ドメイン
  • ターゲット サーバー > ターゲット サーバー名: ログオン先ホスト名 (接続先ホスト)
  • ターゲット サーバー > 追加情報: ログオン先ホストの追加情報 (TERMSRV/[接続先ホスト])
  • プロセス情報 > プロセスID: ログオンを試行したプロセスID
  • プロセス情報 > プロセス名: ログオンを試行したプロセス名 (C:\Windows\System32\lsass.exe)
  • ネットワーク情報 > ネットワークアドレス: ログオン元ホスト
  • ネットワーク情報 > ポート: 接続元ポート (-)
13 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
14 セキュリティ 4648 ログオン 明示的な資格情報を使用してログオンが試行された。
  • サブジェクト > セキュリティID: 実行したユーザーSID
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID/ログオンGUID: 認証を実行したユーザーのセッションID
  • 資格情報が使用されたアカウント > アカウント名: 指定されたアカウント名
  • 資格情報が使用されたアカウント > アカウント ドメイン: 指定されたアカウントの所属ドメイン
  • ターゲット サーバー > ターゲット サーバー名: ログオン先ホスト名 (接続先ホスト)
  • ターゲット サーバー > 追加情報: ログオン先ホストの追加情報 (TERMSRV/[接続先ホスト])
  • プロセス情報 > プロセスID: ログオンを試行したプロセスID
  • プロセス情報 > プロセス名: ログオンを試行したプロセス名 (C:\Windows\System32\lsass.exe)
  • ネットワーク情報 > ネットワークアドレス: ログオン元ホスト
  • ネットワーク情報 > ポート: 接続元ポート (-)
15 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client\Cache\bcache[数字].bmc)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\mstsc.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\mstsc.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
16 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
  • TargetFilename: 作成されたファイル (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\[ランダム文字列].automaticDestinations-ms)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\[ランダム文字列].automaticDestinations-ms)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\explorer.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile を含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\explorer.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
17 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\mstsc.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Servers\[ターゲットホスト])
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\mstsc.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Servers\[ターゲットホスト]\UsernameHint)
  • Details: レジストリに書き込まれた設定値 (String:[ユーザー名])
18 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\JumpListChangedAppIds)
  • Details: レジストリに書き込まれた設定値 (Binary Data)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\JumplistData)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\JumpListData\Microsoft.Windows.RemoteDesktop)
  • Details: レジストリに書き込まれた設定値 (QWORD)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\mstsc.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Default\AddIns\RDPDR)
19 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\[ユーザー名]\Documents\Default.rdp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\mstsc.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\[ユーザー名]\Documents\Default.rdp)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\mstsc.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
20 Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\mstsc.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Default\MRU0)
  • Details: レジストリに書き込まれた設定値 (接続先)
備考: "MRU0"-"MRU9"があり、過去に接続したホストが記録されている。MRU0が最後に接続した履歴である。
21 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\mstsc.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Default)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\Explorer.EXE)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\Zvpebfbsg.Jvaqbjf.ErzbgrQrfxgbc)
  • Details: レジストリに書き込まれた設定値 (Binary Data)
22 Microsoft-Windows-TerminalServices-RDPClient/Operational 1105 接続シーケンス マルチトランスポート接続が切断されました
Microsoft-Windows-TerminalServices-RDPClient/Operational 1026 接続シーケンス RDP ClientActiveX が切断しました (理由 = [理由])
  • 理由: 1
23 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\mstsc.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\mstsc.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)

- MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client FOLDER ALLOCATED
[ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client\Cache FOLDER ALLOCATED
[ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client\Cache\bcache[数字].bmc FILE ALLOCATED
2 [ドライブ名]:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\[ランダム文字列].automaticDestinations-ms FILE ALLOCATED
3 [ドライブ名]:\Users\[ユーザー名]\Documents\Default.rdp FILE ALLOCATED
4 [ドライブ名]:\Windows\Prefetch\MSTSC.EXE-[文字列].pf FILE ALLOCATED

- Prefetch

# Prefetchファイル プロセス名 プロセスパス ログから得られる情報
1 C:\Windows\Prefetch\MSTSC.EXE-[文字列].pf MSTSC.EXE C:\WINDOWS\SYSTEM32\MSTSC.EXE Last Run Time (最終実行日時)

- レジストリエントリ

# パス 種類
1 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Default\MRU0 String [ターゲットホスト]
HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Default\AddIns Key (値の設定無し)
HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Default\AddIns\RDPDR Key (値の設定無し)
3 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Servers\[ターゲットホスト]\UsernameHint String [ユーザー名]
4 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\JumplistData\Microsoft.Windows.RemoteDesktop Binary [バイナリ値]
5 HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\Zvpebfbsg.Jvaqbjf.ErzbgrQrfxgbc Binary [バイナリ値]

- UserAssist

# レジストリエントリ ログから得られる情報
1 \REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\Zvpebfbsg.Jvaqbjf.ErzbgrQrfxgbc 初回実行日時、累計実行回数

- USNジャーナル

# ファイル名 処理 属性
1 Terminal Server Client FILE_CREATE directory
Terminal Server Client CLOSE+FILE_CREATE directory
2 bcache[数字].bmc FILE_CREATE archive+not_indexed
bcache[数字].bmc DATA_EXTEND+FILE_CREATE archive+not_indexed
bcache[数字].bmc DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE archive+not_indexed
bcache[数字].bmc CLOSE+DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE archive+not_indexed
3 [ランダム文字列].automaticDestinations-ms FILE_CREATE archive
[ランダム文字列].automaticDestinations-ms DATA_EXTEND+FILE_CREATE archive
[ランダム文字列].automaticDestinations-ms DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE archive
[ランダム文字列].automaticDestinations-ms CLOSE+DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE archive
4 Default.rdp DATA_TRUNCATION hidden+archive
Default.rdp DATA_EXTEND+DATA_TRUNCATION hidden+archive
Default.rdp CLOSE+DATA_EXTEND+DATA_TRUNCATION hidden+archive
5 MSTSC.EXE-[文字列].pf DATA_TRUNCATION archive+not_indexed
MSTSC.EXE-[文字列].pf DATA_EXTEND+DATA_TRUNCATION archive+not_indexed
MSTSC.EXE-[文字列].pf CLOSE+DATA_EXTEND+DATA_TRUNCATION archive+not_indexed

- 詳細:接続先

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • User: 実行ユーザー
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (3389)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (3389)
  • ネットワーク情報 > 宛先アドレス/宛先ポート: 宛先IPアドレス/ポート番号 (接続元ホスト)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
2 Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational 261 TerminalServices-RemoteConnectionManager リスナー RDP-Tcp で接続を受信しました
3 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (445)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID (4)
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (445)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ターゲットホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (445)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続先IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続先ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続先ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
4 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン (SYSTEM/[接続先ホスト]$/ドメイン)
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\winlogon.exe)
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名 (接続先ホスト)
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 接続元ポート番号 (ハイポート)
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (User32)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Negotiate)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン (-)
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
セキュリティ 4648 ログオン 明示的な資格情報を使用してログオンが試行された。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続先ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID/ログオンGUID: 認証を実行したユーザーのセッションID
  • 資格情報が使用されたアカウント > アカウント名: 指定されたアカウント名
  • 資格情報が使用されたアカウント > アカウント ドメイン: 指定されたアカウントの所属ドメイン
  • ターゲット サーバー > ターゲット サーバー名: ログオン先ホスト名 (localhost)
  • ターゲット サーバー > 追加情報: ログオン先ホストの追加情報 (localhost)
  • プロセス情報 > プロセスID: ログオンを試行したプロセスID
  • プロセス情報 > プロセス名: ログオンを試行したプロセス名 (C:\Windows\System32\winlogon.exe)
  • ネットワーク情報 > ネットワークアドレス: ログオン元ホスト (接続元ホスト)
  • ネットワーク情報 > ポート: 接続元ポート (ハイポート)
5 セキュリティ 4779 その他のログオン/ログオフ イベント セッションは Window Station から切断されました。
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID: 登録を試行したユーザーのセッションID
  • セッション > セッション名: セッションの識別名 (Console)
  • 追加情報 > クライアント名: 実行元ホスト名 (Unknown)
  • 追加情報 > クライアント アドレス: 実行元アドレス (ローカル)
6 Microsoft-Windows-TerminalServices-LocalSessionManager/Operational 24 TerminalServices-LocalSessionManager リモート デスクトップ サービス: セッションは切断されました
  • ユーザー: セッションを使用していたユーザー
  • セッションID: セッションのID
  • ソース ネットワーク アドレス: セッションの接続元アドレス (ローカル)
7 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\TSTheme.exe)
  • CommandLine: 実行コマンドのコマンドライン (C:\Windows\system32\TSTheme.exe -Embedding)
  • CurrentDirectory: 作業ディレクトリ (C:\Windows\system32\)
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (Medium)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\svchost.exe)
  • ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\system32\svchost.exe -k DcomLaunch)
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\TSTheme.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • ログの日時: プロセス実行日時 (ローカル時刻)
8 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\TSTheme.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Explorer\Remote\1)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\TSTheme.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Explorer\Remote\1\TaskbarAnimations)
  • Details: レジストリに書き込まれた設定値 (DWORD)
Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\TSTheme.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\USER\[ユーザーSID]\Remote\1\Control Panel\Desktop)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\TSTheme.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Remote\1\Control Panel\Desktop\DragFullWindows)
  • Details: レジストリに書き込まれた設定値 (0)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\TSTheme.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Remote\1\Control Panel\Desktop\SmoothScroll)
  • Details: レジストリに書き込まれた設定値 (0)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\TSTheme.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Remote\1\Control Panel\Desktop\FontSmoothing)
  • Details: レジストリに書き込まれた設定値 (0)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\TSTheme.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Remote\1\Control Panel\Desktop\FontSmoothingType)
  • Details: レジストリに書き込まれた設定値 (0)
Microsoft-Windows-Sysmon/Operational 13 Registry value set (rule: RegistryEvent) Registry value set.
  • EventType: 処理の種類 (SetValue)
  • Image: 実行ファイルのパス (C:\Windows\system32\TSTheme.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 書き込み先のレジストリ値 (\REGISTRY\USER\[ユーザーSID]\Remote\1\Control Panel\Desktop\UserPreferencesMask)
  • Details: レジストリに書き込まれた設定値 (0)
9 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\AppCompat\Programs\RecentFileCache.bcf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\AppCompat\Programs\RecentFileCache.bcf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
10 セキュリティ 4778 その他のログオン/ログオフ イベント セッションは Window Station に再接続しました。
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID: 登録を試行したユーザーのセッションID
  • セッション > セッション名: セッションの識別名 (RDP-Tcp#[番号])
  • 追加情報 > クライアント名: 実行元ホスト名 (接続元ホスト名)
  • 追加情報 > クライアント アドレス: 実行元アドレス (接続元IPアドレス)
11 Microsoft-Windows-TerminalServices-LocalSessionManager/Operational 25 TerminalServices-LocalSessionManager リモート デスクトップ サービス: セッションの再接続に成功しました
  • ユーザー: セッションを使用していたユーザー
  • セッションID: セッションのID
  • ソース ネットワーク アドレス: セッションの接続元アドレス (接続元ホスト)
12 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\rdpclip.exe)
  • CommandLine: 実行コマンドのコマンドライン (rdpclip)
  • CurrentDirectory: 作業ディレクトリ (C:\Windows\system32)
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (Medium)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\svchost.exe)
  • ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\system32\svchost.exe -k NetworkService)
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\rdpclip.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • ログの日時: プロセス実行日時 (ローカル時刻)
13 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\AppCompat\Programs\RecentFileCache.bcf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\AppCompat\Programs\RecentFileCache.bcf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
14 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted (rule: RegistryEvent) Registry object added or deleted.
  • EventType: 処理の種類 (CreateKey)
  • Image: 実行ファイルのパス (C:\Windows\system32\svchost.exe)
  • ProcessGuid/ProcessId: プロセスID
  • TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services)
15 Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational 1149 TerminalServices-RemoteConnectionManager リモート デスクトップ サービス: ユーザー認証に成功しました
  • ユーザー: セッションを使用していたユーザー
  • ドメイン: ユーザーのドメイン
  • ソース ネットワーク アドレス: セッションの接続元アドレス
16 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\TSTheme.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\TSTheme.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
17 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • TargetFilename: 作成されたファイル (C:\Windows\Prefetch\TSTHEME.EXE-[文字列].pf)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\TSTHEME.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\TSTHEME.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
18 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • TargetFilename: 作成されたファイル (C:\Windows\Prefetch\RDPCLIP.EXE-[文字列].pf)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\RDPCLIP.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\RDPCLIP.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
19 セキュリティ 4779 その他のログオン/ログオフ イベント セッションは Window Station から切断されました。
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID: 登録を試行したユーザーのセッションID
  • セッション > セッション名: セッションの識別名 (RDP-Tcp#[番号])
  • 追加情報 > クライアント名: 実行元ホスト名 (接続元ホスト名)
  • 追加情報 > クライアント アドレス: 実行元アドレス (接続元IPアドレス)
Microsoft-Windows-TerminalServices-LocalSessionManager/Operational 24 TerminalServices-LocalSessionManager リモート デスクトップ サービス: セッションは切断されました
  • ユーザー: セッションを使用していたユーザー
  • セッションID: セッションのID
  • ソース ネットワーク アドレス: セッションの接続元アドレス (接続元ホスト)

- Prefetch

# Prefetchファイル プロセス名 プロセスパス ログから得られる情報
1 C:\Windows\Prefetch\TSTHEME.EXE-[文字列].pf TSTHEME.EXE C:\WINDOWS\SYSTEM32\TSTHEME.EXE Last Run Time (最終実行日時)
2 C:\Windows\Prefetch\RDPCLIP.EXE-[文字列].pf RDPCLIP.EXE C:\WINDOWS\SYSTEM32\RDPCLIP.EXE Last Run Time (最終実行日時)

- レジストリエントリ

# パス 種類
1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\PackageInstallation\Windows x64\DriverPackages\tsprint.inf_amd64_neutral_c48d421ad2c1e3e3\DriverStorePath String C:\Windows\System32\DriverStore\FileRepository\tsprint.inf_amd64_neutral_c48d421ad2c1e3e3\tsprint.inf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\PackageInstallation\Windows x64\DriverPackages\tsprint.inf_amd64_neutral_c48d421ad2c1e3e3\CabPath String C:\Windows\system32\spool\DRIVERS\x64\PCC\tsprint.inf_amd64_neutral_c48d421ad2c1e3e3.cab
2 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Print\PackageInstallation\Windows x64\DriverPackages\tsprint.inf_amd64_neutral_c48d421ad2c1e3e3 Key (値の設定無し)
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Print\PackageInstallation\Windows x64\DriverPackages\tsprint.inf_amd64_neutral_c48d421ad2c1e3e3\DriverStorePath String C:\Windows\System32\DriverStore\FileRepository\tsprint.inf_amd64_neutral_c48d421ad2c1e3e3\tsprint.inf
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Print\PackageInstallation\Windows x64\DriverPackages\tsprint.inf_amd64_neutral_c48d421ad2c1e3e3\CabPath String C:\Windows\system32\spool\DRIVERS\x64\PCC\tsprint.inf_amd64_neutral_c48d421ad2c1e3e3.cab
3 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\DeviceInstance String Root\RDPBUS\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS001\SymbolicLink String \\?\Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\TS001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS001\Device Parameters\Port Number DWORD 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS001\Device Parameters\Base Name String TS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS001\Device Parameters\Port Description String Inactive TS Port
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS001\Device Parameters\MaxBufferSize DWORD 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS001\Device Parameters\Client Device Name String \;PRN3:1\tsclient\PRN3
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS001\Device Parameters\recyclable Binary (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS001\Control\Linked DWORD 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS002\SymbolicLink String \\?\Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\TS002
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS002\Device Parameters\Port Number DWORD 0x00000002
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS002\Device Parameters\Base Name String TS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS002\Device Parameters\Port Description String Inactive TS Port
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS002\Device Parameters\MaxBufferSize DWORD 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS002\Device Parameters\Client Device Name String \;PRN4:1\tsclient\PRN4
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS002\Device Parameters\recyclable Binary (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS002\Control\Linked DWORD 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS003\SymbolicLink String \\?\Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\TS003
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS003\Device Parameters\Port Number DWORD 0x00000003
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS003\Device Parameters\Base Name String TS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS003\Device Parameters\Port Description String Inactive TS Port
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS003\Device Parameters\MaxBufferSize DWORD 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS003\Device Parameters\Client Device Name String \;PRN2:1\tsclient\PRN2
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS003\Device Parameters\recyclable Binary (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\#TS003\Control\Linked DWORD 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\##?#Root#RDPBUS#0000#{28d78fad-5a12-11d1-ae5b-0000f803a8c2}\Control\ReferenceCount DWORD 0x00000000
4 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\Dependent Files String tsprint-PipelineConfig.xml
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\Configuration File String tsprint.dll
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\Data File String tsprint-datafile.dat
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\Driver String mxdwdrv.dll
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\Help File String (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\Monitor String (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\Datatype String (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\Previous Names String (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\Version DWORD 0x00000003
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\TempDir DWORD 0x00000000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\Attributes DWORD 0x00000002
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\Manufacturer String Microsoft
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\OEM URL String (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\HardwareID String (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\Provider String Microsoft リモート デスクトップ サービス
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\Print Processor String winprint
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\VendorSetup String (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\ColorProfiles String (値の設定無し)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\InfPath String C:\Windows\System32\DriverStore\FileRepository\tsprint.inf_amd64_neutral_c48d421ad2c1e3e3\tsprint.inf
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\PrinterDriverAttributes DWORD 0x00000001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\CoreDependencies String ([GUID])
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\DriverDate String [ドライバーの更新日時]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\DriverVersion String [バージョン番号]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\MinInboxDriverVerDate String 01/01/1601
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Drivers\Version-3\Remote Desktop Easy Print\MinInboxDriverVerVersion String 0.0.0.0
5 HKEY_USERS\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Explorer\Remote Key (値の設定無し)
HKEY_USERS\[ユーザーSID]\Remote Key (値の設定無し)
6 HKEY_USERS\[ユーザーSID]\Software\Classes\Local Settings\MuiCache\1\826182D0\@%systemroot%\system32\rdpendp.dll,-1001 String リモート オーディオ
HKEY_USERS\[ユーザーSID]\Software\Classes\Local Settings\MuiCache\1\826182D0\@%systemroot%\system32\rdpendp.dll,-1002 String (値の設定無し)
HKEY_USERS\[ユーザーSID]_Classes\Local Settings\MuiCache\1\826182D0\@%systemroot%\system32\rdpendp.dll,-1001 String リモート オーディオ
HKEY_USERS\[ユーザーSID]_Classes\Local Settings\MuiCache\1\826182D0\@%systemroot%\system32\rdpendp.dll,-1002 String (値の設定無し)

- USNジャーナル

# ファイル名 処理 属性
1 RecentFileCache.bcf DATA_EXTEND system+archive
RecentFileCache.bcf DATA_EXTEND+DATA_OVERWRITE system+archive
RecentFileCache.bcf CLOSE+DATA_EXTEND+DATA_OVERWRITE system+archive
2 tsprint.dll FILE_CREATE archive
tsprint.dll DATA_EXTEND+FILE_CREATE archive
tsprint.dll BASIC_INFO_CHANGE+DATA_EXTEND+FILE_CREATE archive
tsprint.dll BASIC_INFO_CHANGE+CLOSE+DATA_EXTEND+FILE_CREATE archive
tsprint.dll RENAME_OLD_NAME archive
tsprint.dll RENAME_NEW_NAME archive
tsprint.dll CLOSE+RENAME_NEW_NAME archive
tsprint.dll CLOSE+FILE_DELETE archive
3 tsprint-datafile.dat FILE_CREATE archive
tsprint-datafile.dat DATA_EXTEND+FILE_CREATE archive
tsprint-datafile.dat BASIC_INFO_CHANGE+DATA_EXTEND+FILE_CREATE archive
tsprint-datafile.dat BASIC_INFO_CHANGE+CLOSE+DATA_EXTEND+FILE_CREATE archive
tsprint-datafile.dat RENAME_OLD_NAME archive
tsprint-datafile.dat RENAME_NEW_NAME archive
tsprint-datafile.dat CLOSE+RENAME_NEW_NAME archive
tsprint-datafile.dat CLOSE+FILE_DELETE archive
4 tsprint-PipelineConfig.xml FILE_CREATE archive
tsprint-PipelineConfig.xml DATA_EXTEND+FILE_CREATE archive
tsprint-PipelineConfig.xml BASIC_INFO_CHANGE+DATA_EXTEND+FILE_CREATE archive
tsprint-PipelineConfig.xml BASIC_INFO_CHANGE+CLOSE+DATA_EXTEND+FILE_CREATE archive
tsprint-PipelineConfig.xml RENAME_OLD_NAME archive
tsprint-PipelineConfig.xml RENAME_NEW_NAME archive
tsprint-PipelineConfig.xml CLOSE+RENAME_NEW_NAME archive
tsprint-PipelineConfig.xml CLOSE+FILE_DELETE archive
5 TSTHEME.EXE-[文字列].pf FILE_CREATE archive+not_indexed
TSTHEME.EXE-[文字列].pf DATA_EXTEND+FILE_CREATE archive+not_indexed
TSTHEME.EXE-[文字列].pf CLOSE+DATA_EXTEND+FILE_CREATE archive+not_indexed
6 RDPCLIP.EXE-[文字列].pf FILE_CREATE archive+not_indexed
RDPCLIP.EXE-[文字列].pf DATA_EXTEND+FILE_CREATE archive+not_indexed
RDPCLIP.EXE-[文字列].pf CLOSE+DATA_EXTEND+FILE_CREATE archive+not_indexed

- 備考