RDP

項目	接続元	接続先
通信プロトコル	3389/tcp	3389/tcp
権限	User	User
ドメインへの所属	不要	不要
サービス	-	Remote Desktop Services
OS	Windows	Windows
備考	-	-

環境	動作可否
Windows 7 + Windows Server 2012	動作する
Windows 10 + Windows Server 2012	動作する
Windows 11 + Windows Server 2025	動作する

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	5379	User Account Management	資格情報マネージャーの資格情報が読み取られました。サブジェクト > セキュリティ ID: [実行ユーザーSID] サブジェクト > アカウント名: [実行ユーザー] サブジェクト > アカウントドメイン: [ドメイン名] TargetName（非表示）: TERMSRV/接続先のIPアドレス ClientProcessId（非表示）: [プロセスID]
2	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [実行ユーザーSID] サブジェクト > アカウント名: [実行ユーザー] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\domadmin\Documents\Default.rdp アクセス要求情報 > アクセス: SYNCHRONIZE, WriteAttributesを含むプロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\WINDOWS\system32\mstsc.exe
3	Microsoft-Windows-TerminalServices-RDPClient/Operational	1024	接続シーケンス	RDP ClientActiveX がサーバー ([Server Name]) に接続しようとしています Server Name: [接続先ホスト]
4	Microsoft-Windows-TerminalServices-RDPClient/Operational	1029	接続シーケンス	Base64(SHA256(UserName)) is = [TraceMessage] TraceMessage: [ユーザー名のSHA256ハッシュ値をBASE64エンコードしたもの]
5	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey Image: C:\Windows\system32\mstsc.exe ProcessId: [実行プロセスID] TargetObject: HKU\[ユーザーSID]\Software\Microsoft\Terminal Server Client\Servers\[接続先ホスト]\UsernameHint
6	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey Image: C:\Windows\system32\mstsc.exe ProcessId: [実行プロセスID] TargetObject: HKU\[ユーザーSID]\Software\Microsoft\Terminal Server Client\Default\MRU0

#	パス	値	備考
1	HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Default\MRU0	[ターゲットホスト]
2	HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Servers\<接続先ホスト>\UsernameHint	[ユーザー名]

#	ファイル名	処理	備考
1	MSTSC.EXE-[ハッシュ値].pf	DataExtend\|FileCreate\|Close	Archive\|NotContentIndexed
2	Default.rdp	DataExtend\|FileCreate\|Close	Hidden\|Archive
3	[文字列].automaticDestinations-ms	DataOverwrite\|DataExtend\|FileCreate\|Close	Archive

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational	1149	なし	リモートデスクトップサービス: ユーザー認証に成功しましたユーザー: [ユーザー名] ドメイン: [ドメイン名] ソースネットワークアドレス: [接続元IPアドレス]
2	Microsoft-Windows-TerminalServices-LocalSessionManager/Operational	24	なし	リモートデスクトップサービス: セッションは切断されましたユーザー: [ドメイン名]\[ユーザー名] セッション ID: [セッションID] ソースネットワークアドレス: [接続元IPアドレス]
3	Microsoft-Windows-TerminalServices-LocalSessionManager/Operational	25	なし	リモートデスクトップサービス: セッションの再接続に成功しましたユーザー: [ドメイン名]\[ユーザー名] セッション ID: [セッションID] ソースネットワークアドレス: [接続元IPアドレス]
4	Security	4778	Other Logon/Logoff Events	セッションは Window Station に再接続しました。サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] セッション > セッション名: RDP-Tcp#[セッションID] 追加情報 > クライアント名: [接続元ホスト名] 追加情報 > クライアントアドレス: [接続元IPアドレス]

#	ファイル名	処理	備考
1	TSTHEME.EXE-[ハッシュ値].pf	CREATE\|EXTEND\|CLOSE	ARCHIVE\|NOINDEX
2	RDPCLIP.EXE-[ハッシュ値].pf	CREATE\|EXTEND\|CLOSE	ARCHIVE\|NOINDEX

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\System32\mstsc.exe プロセス情報 > プロセスのコマンドライン: C:\Windows\System32\mstsc.exe
2	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\mstsc.exe CommandLine: C:\WINDOWS\system32\mstsc.exe User: [ドメイン名]\[ユーザー名]
3	Security	4673	Sensitive Privilege Use	特権のあるサービスが呼び出されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] サービス > サーバー: Security サービス要求情報 > 特権: SeProfileSingleProcessPrivilege プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\mstsc.exe
4	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey Image: C:\Windows\system32\mstsc.exe ProcessId: [実行プロセスID] TargetObject: [作成・削除されたレジストリキー・値]
5	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > ハンドル ID: [ハンドルID] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\Documents\Default.rdp アクセス要求情報 > アクセス: SYNCHRONIZE, WriteAttributesを含むプロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\mstsc.exe
6	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\mstsc.exe
7	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\MSTSC.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
8	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\MSTSC.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
9	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
10	Microsoft-Windows-Sysmon/Operational	11	File created	File created ProcessId: [プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\MSTSC.EXE-[ハッシュ値].pf
11	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > ハンドル ID: [ハンドルID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client\Cache アクセス要求情報 > アクセス: SYNCHRONIZE, WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\mstsc.exe
12	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client\Cache オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\mstsc.exe
13	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\mstsc.exe
14	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\mstsc.exe ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
15	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\mstsc.exe ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 3389 ネットワーク情報 > プロトコル: 6 (TCP)
16	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected ProcessId: [実行プロセスID] Image: C:\Windows\System32\mstsc.exe User: [ドメイン名]\[ユーザー名] Protocol: tcp SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 3389
17	Security	5379	User Account Management	資格情報マネージャーの資格情報が読み取られました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] TargetName（非表示）: TERMSRV/[接続先IPアドレス] ClientProcessId（非表示）: [プロセスID] RDPクライアントの接続先欄に値を入力する度に、TargetNameにその入力状況が入ったログが記録される（オートコンプリートの動作）。
18	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\mstsc.exe ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
19	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\mstsc.exe ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 3389 ネットワーク情報 > プロトコル: 6 (TCP)
20	Microsoft-Windows-TerminalServices-RDPClient/Operational	1024	接続シーケンス	RDP ClientActiveX がサーバー ([Server Name]) に接続しようとしています Server Name: [接続先ホスト]
21	Microsoft-Windows-TerminalServices-RDPClient/Operational	1028	接続シーケンス	サーバーで SSL = [TraceMessage] がサポートされています TraceMessage: supported
22	Microsoft-Windows-TerminalServices-RDPClient/Operational	1029	接続シーケンス	Base64(SHA256(UserName)) is = [TraceMessage] TraceMessage: [ユーザー名のSHA256ハッシュ値をBASE64エンコードしたもの]
23	Microsoft-Windows-TerminalServices-RDPClient/Operational	1025	接続シーケンス	RDP ClientActiveX がサーバーに接続しました
24	Microsoft-Windows-TerminalServices-RDPClient/Operational	1027	接続シーケンス	セッション [SessionId] でドメイン ([DomainName]) に接続しました。 DomainName: [ドメイン名] SessionId: [セッションID]
25	Microsoft-Windows-TerminalServices-LocalSessionManager/Operational	59	なし	[CallerImageName] からの [Function] ([SessionId]/[ClientProcessId]) Function: RpcGetCurrentSessionCapabilities CallerImageName: "C:\Windows\System32\CredentialUIBroker.exe" NonAppContainerFailedMip -Embedding SessionId: [セッションID] ClientProcessId: [プロセスID]
26	Security	4648	Logon	明示的な資格情報を使用してログオンが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウント名: [ドメイン名] ターゲットサーバー > ターゲットサーバー名: [接続先ホスト名] ターゲットサーバー > 追加情報: [接続先ホスト名] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe
27	Microsoft-Windows-TerminalServices-LocalSessionManager/Operational	59	なし	[CallerImageName] からの [Function] ([SessionId]/[ClientProcessId]) Function: RpcGetCurrentSessionCapabilities CallerImageName: "C:\Windows\System32\mstsc.exe SessionId: [セッションID] ClientProcessId: [実行プロセスID]
28	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > ハンドル ID: [ハンドルID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client\Cache 以下の複数ファイルアクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\mstsc.exe
29	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client\Cache 以下の複数ファイルオブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\mstsc.exe
30	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\mstsc.exe
31	Microsoft-Windows-Sysmon/Operational	11	File created	File created ProcessId: [実行プロセスID] Image: C:\Windows\system32\mstsc.exe TargetFilename: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client\Cache 以下の複数ファイル
32	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey Image: C:\Windows\system32\mstsc.exe ProcessId: [実行プロセスID] TargetObject: HKU\[ユーザーSID]\Software\Microsoft\Terminal Server Client\Servers\接続先のIPアドレス\UsernameHint
33	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey Image: C:\Windows\system32\mstsc.exe ProcessId: [実行プロセスID] TargetObject: HKCR\CLSID\{A8CDFF1C-4878-43be-B5FD-F8091C1C60D0}\Instance
34	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey Image: C:\Windows\system32\mstsc.exe ProcessId: [実行プロセスID] TargetObject: HKU\[ユーザーSID]\Software\Microsoft\Terminal Server Client\Default\MRU0
35	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey Image: C:\Windows\system32\mstsc.exe ProcessId: [実行プロセスID] TargetObject: HKU\[ユーザーSID]\Software\Microsoft\Terminal Server Client\Default\AddIns\RDPDR
36	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue Image: C:\Windows\mstsc.exe ProcessId: [実行プロセスID] TargetObject: HKLM\System\CurrentControlSet\Services\bam\State\UserSettings\[ユーザーSID]\Device\HarddiskVolume[ボリューム番号]\Windows\System32\mstsc.exe Details: Binary Data
37	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue Image: C:\Windows\mstsc.exe ProcessId: [実行プロセスID] TargetObject: HKU\[ユーザーSID]\Software\Microsoft\Terminal Server Client\Default\MRU0 Details: [接続先IPアドレス]
38	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue Image: C:\Windows\mstsc.exe ProcessId: [実行プロセスID] TargetObject: HKU\[ユーザーSID]\Software\Microsoft\Terminal Server Client\Servers\[接続先IPアドレス]\UsernameHint Details: [ドメイン名]\[ユーザー名]
39	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue Image: C:\Windows\mstsc.exe ProcessId: [実行プロセスID] TargetObject: HKU\[ユーザーSID]\Software\Microsoft\Windows NT\CurrentVersion\Windows\IsMRUEstablished) Details: DWORD (0x00000000)
40	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > ハンドル ID: [ハンドルID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\Documents\Default.rdp アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\mstsc.exe
41	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\Documents\Default.rdp オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\mstsc.exe
42	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\mstsc.exe
43	Microsoft-Windows-Sysmon/Operational	11	File created	File created ProcessId: [実行プロセスID] Image: C:\Windows\system32\mstsc.exe TargetFilename: C:\Users\[ユーザー名]\Documents\Default.rdp
44	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\WINDOWS\system32\mstsc.exe
45	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. ProcessId: [実行プロセスID] Image: C:\Windows\System32\mstsc.exe User: [ドメイン名]\[ユーザー名]
46	Microsoft-Windows-TerminalServices-RDPClient/Operational	1105	接続シーケンス	マルチトランスポート接続が切断されました。
47	Microsoft-Windows-TerminalServices-RDPClient/Operational	1026	接続シーケンス	RDP ClientActiveX が切断しました (理由 = [Disconnect Reason]) Disconnect Reason: [理由コード]

レジストリエントリ

#	パス	値
1	HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Default\MRU0	[接続先ホスト]
2	HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Default\AddIns	(値の設定無し)
3	HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Default\AddIns\RDPDR	(値の設定無し)
4	HKEY_USERS\[ユーザーSID]\SOFTWARE\Microsoft\Terminal Server Client\Servers\<接続先ホスト>\UsernameHint	[ユーザー名]
5	HKU\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count\Zvpebfbsg.Jvaqbjf.ErzbgrQrfxgbc	[バイナリ値]

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	C:\Windows\Prefetch\MSTSC.EXE-[ハッシュ値].pf	MSTSC.EXE	C:\WINDOWS\SYSTEM32\MSTSC.EXE

MFT

#	パス	ヘッダフラグ	備考
1	[ドライブ名]:\Windows\Prefetch\MSTSC.EXE-[ハッシュ値].pf	FILE	ALLOCATED
2	[ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client	FOLDER	ALLOCATED
3	[ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client\Cache	FOLDER	ALLOCATED
4	[ドライブ名]:\Users\[ユーザー名]\AppData\Local\Microsoft\Terminal Server Client\Cache\bcache[数字].bmc	FILE	ALLOCATED
5	[ドライブ名]:\Users\[ユーザー名]\Documents\Default.rdp	FILE	ALLOCATED

USNジャーナル

#	ファイル名	処理	備考
1	mstsc.exe	Close	Archive\|SparseFile\|ReparsePoint
2	mstscax.dll	Close	Archive\|SparseFile\|ReparsePoint
3	MSTSC.EXE-[ハッシュ値].pf	DataExtend\|FileCreate\|Close	Archive\|NotContentIndexed
4	Default.rdp	FileCreate\|DataExtend\|FileCreate\|Close	Hidden\|Archive
5	Terminal Server Client	FileCreate\|Close	Directory
6	bcache[数字].bmc	FileCreate\|Close	Archive\|NotContentIndexed
7	英数字文字列.automaticDestinations-ms	DataOverwrite\|DataExtend\|FileCreate\|Close	Archive

- 接続先

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 3389 ネットワーク情報 > プロトコル: 6 (TCP)
2	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected ProcessId: [プロセスID] Image: C:\Windows\System32\svchost.exe User: NT AUTHORITY\NETWORK SERVICE Protocol: tcp SourceIp: [接続先IPアドレス] SourceHostname: [接続先ホスト名] SourcePort: 3389 DestinationIp: [接続元IPアドレス] DestinationHostname: [接続元ホスト名] DestinationPort: [接続元ポート番号]
3	Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational	261	なし	リスナー [listenerName] で接続を受信しました listerName: RDP-Tcp
4	Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational	1149	なし	リモートデスクトップサービス: ユーザー認証に成功しましたユーザー: [ユーザー名] ドメイン: [ドメイン名] ソースネットワークアドレス: [接続元IPアドレス]
5	Security	5058	Other System Events	キーファイルの操作。サブジェクト > セキュリティ ID: NETWORK SERVICE サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 暗号化パラメーター > プロバイダー名: Microsoft Software Key Storage Provider 暗号化パラメーター > アルゴリズム名: UNKNOWN 暗号化パラメーター > キー名: TSSecKeySet1 暗号化パラメーター > キーの種類: マシンキーキーファイル操作情報 > ファイルパス: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\[文字列] キーファイル操作情報 > 操作: 保存されたキーをファイルから読み取ります。キーファイル操作情報 > リターンコード: 0x0
6	Security	5061	System Integrity	暗号化操作。サブジェクト > セキュリティ ID: NETWORK SERVICE サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 暗号化パラメーター > プロバイダー名: Microsoft Software Key Storage Provider 暗号化パラメーター > アルゴリズム名: RSA 暗号化パラメーター > キー名: TSSecKeySet1 暗号化パラメーター > キーの種類: マシンキーキーファイル操作情報 > 操作: キーを開きます。キーファイル操作情報 > リターンコード: 0x0
7	Security	4624	Logon	アカウントが正常にログオンしました。ログオン情報 > ログオンタイプ: 3 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウント名: [ドメイン名] ネットワーク情報 > ソースワークステーション名: [接続元のホスト名] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] SourcePort: 0
8	Security	4634	Logoff	アカウントがログオフしました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > ログオン ID: [イベント4624で記録されたログオンID] ログオンタイプ: 3
9	Security	4624	Logon	アカウントが正常にログオンしました。ログオン情報 > ログオンタイプ: 3 新しいログオン > アカウント名: [ユーザー名] 新しいログオン > アカウント名: [ドメイン名] ネットワーク情報 > ソースワークステーション名: [接続元のホスト名] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] SourcePort: 0
10	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\INF\termmou.PNF オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
11	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\INF\termmou.PNF オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
12	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
13	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\INF\termmou.PNF CreationUtcTime: [ファイル作成日時(UTC)] User: NT AUTHORITY\SYSTEM
14	Microsoft-Windows-Sysmon/Operational	6	Driver loaded	Driver loaded UtcTime: [発生日時(UTC)] ImageLoaded: C:\Windows\System32\drivers\terminpt.sys Hashes: [ファイルのハッシュ値] Signed: true Signature: Microsoft Windows SignatureStatus: Valid
15	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\INF\rdpidd.PNF オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
16	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\INF\rdpidd.PNF オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
17	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
18	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\INF\rdpidd.PNF CreationUtcTime: [ファイル作成日時(UTC)] User: NT AUTHORITY\SYSTEM
19	Security	4673	Sensitive Privilege Use	特権のあるサービスが呼び出されました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サービス > サーバー: NT Local Security Authority / Authentication Service サービス > サービス名: LsaRegisterLogonProcess() サービス要求情報 > 特権: SeTcbPrivilege
20	Security	6416	Plug and Play events	新しい外部デバイスがシステムに認識されました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] デバイス ID: SWD\RemoteDisplayEnum\RdpIdd_IndirectDisplay&SessionID_[セッション番号] デバイス名: Microsoft Remote Display Adapter クラス ID: {4d36e968-e325-11ce-bfc1-08002be10318} クラス名: Display ベンダー ID: RdpIdd_IndirectDisplay 互換性 ID: RdpIdd_IndirectDisplay, SWD\Generic
21	Security	6416	Plug and Play events	新しい外部デバイスがシステムに認識されました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] デバイス ID: DISPLAY\Default_Monitor\[ID] デバイス名: Generic Monitor クラス ID: {4d36e968-e325-11ce-bfc1-08002be10318} クラス名: Monitor ベンダー ID: MONITOR\Remote_Monitor 互換性 ID: *PNP09FF
22	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: SYSTEM 作成元サブジェクト > アカウント名: [コンピューターアカウント] 作成元サブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\System32\TSTheme.exe プロセス情報 > 作成元プロセス ID: [プロセスID] プロセス情報 > プロセスのコマンドライン: C:\WINDOWS\system32\TSTheme.exe -Embedding ターゲットサブジェクト > セキュリティ ID: [ユーザーSID] ターゲットサブジェクト > アカウント名: [ユーザー名] ターゲットサブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > 作成元プロセス名: C:\Windows\System32\svchost.exe
23	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [プロセス実行日時 (UTC)] ProcessId: [プロセスID] Image: C:\Windows\System32\TSTheme.exe CommandLine: C:\Windows\system32\TSTheme.exe -Embedding CurrentDirectory: C:\Windows\system32 User: [ドメイン名]\[ユーザー名] ParentImage: C:\Windows\System32\svchost.exe ParentCommandLine: C:\WINDOWS\system32\svchost.exe -k DcomLaunch -p
24	Security	4673	Sensitive Privilege Use	特権のあるサービスが呼び出されました。サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サービス要求情報 > 特権: SeProfileSingleProcessPrivilege プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\TSTheme.exe
25	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey Image: C:\Windows\system32\TSTheme.exe ProcessId: [プロセスID] TargetObject: HKU\[ユーザーSID]\Remote 以下のキー
26	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: CreateKey Image: C:\Windows\system32\TSTheme.exe ProcessId: [プロセスID] TargetObject: HKU\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Explorer\Remote 以下のキー
27	Microsoft-Windows-TerminalServices-LocalSessionManager/Operational	24	なし	リモートデスクトップサービス: セッションは切断されましたユーザー: [ドメイン名]\[ユーザー名] セッション ID: [セッションID] ソースネットワークアドレス: [接続元IPアドレス]
28	Microsoft-Windows-TerminalServices-LocalSessionManager/Operational	25	なし	リモートデスクトップサービス: セッションの再接続に成功しましたユーザー: [ドメイン名]\[ユーザー名] セッション ID: [セッションID] ソースネットワークアドレス: [接続元IPアドレス]
29	Security	4778	Other Logon/Logoff Events	セッションは Window Station に再接続しました。サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] セッション > セッション名: RDP-Tcp#[セッションID] 追加情報 > クライアント名: [接続元ホスト名] 追加情報 > クライアントアドレス: [接続元IPアドレス]
30	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: NETWORK SERVICE 作成元サブジェクト > アカウント名: [コンピューターアカウント] 作成元サブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\System32\rdpclip.exe プロセス情報 > 作成元プロセス ID: [プロセスID] プロセス情報 > プロセスのコマンドライン: rdpclip ターゲットサブジェクト > セキュリティ ID: [ユーザーSID] ターゲットサブジェクト > アカウント名: [ユーザー名] ターゲットサブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > 作成元プロセス名: C:\Windows\System32\svchost.exe
31	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [プロセス実行日時 (UTC)] ProcessId: [プロセスID] Image: C:\Windows\System32\rdpclip.exe CommandLine: rdpclip CurrentDirectory: C:\Windows\system32 User: [ドメイン名]\[ユーザー名] ParentImage: C:\Windows\System32\svchost.exe ParentCommandLine: C:\WINDOWS\system32\svchost.exe -k NetworkService -s TermService
32	Security	4673	Sensitive Privilege Use	特権のあるサービスが呼び出されました。サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サービス要求情報 > 特権: SeProfileSingleProcessPrivilege プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\rdpclip.exe
33	Microsoft-Windows-Sysmon/Operational	17	Pipe Created	Pipe Created EventType: CreatePipe UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] PipeName: \TSVCPIPE-[GUID] Image: C:\WINDOWS\System32\svchost.exe User: NT AUTHORITY\NETWORK SERVICE
34	Microsoft-Windows-Sysmon/Operational	18	Pipe Connected	Pipe Connected EventType: ConnectPipe UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] PipeName: \TSVCPIPE-[GUID] Image: C:\WINDOWS\System32\svchost.exe User: NT AUTHORITY\NETWORK SERVICE
35	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\INF\TAPISRV\[言語ID] オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: SYNCHRONIZE, ReadData (または ListDirectory) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\spoolsv.exe
36	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\spoolsv.exe
37	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\System32\DriverStore\FileRepository\tsprint.inf_amd64_2456f1b181e738cd 以下の複数ファイルオブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: SYNCHRONIZE, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\spoolsv.exe
38	Security	4664	File System	ハードリンクの作成が試行されました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] リンク情報 > ファイル名: C:\Windows\System32\DriverStore\FileRepository\tsprint.inf_amd64_2456f1b181e738cd 以下の複数ファイルリンク情報 > リンク名: C:\Windows\System32\spool\drivers\x64\{719916D7-D9DA-4BE4-AE48-1303B391F134} 以下の同ファイル名
39	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\spoolsv.exe
40	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\SystemTemp\66F727BD-248E-491C-9EF2-A977F7137DA8 オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\spoolsv.exe
41	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\spoolsv.exe
42	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\System32\spool\drivers\x64 以下の複数ファイルオブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\spoolsv.exe ファイル名は"ts"（Terminal Services）で始まる。
43	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\System32\spool\drivers\x64 以下の複数ファイルオブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\spoolsv.exe ファイル名は"ts"（Terminal Services）で始まる。
44	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\spoolsv.exe
45	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\System32\spoolsv.exe TargetFilename: C:\Windows\System32\spool\drivers 以下の複数ファイル Hashes: [ファイルのハッシュ値]
46	Microsoft-Windows-Sysmon/Operational	2	File creation time changed	File creation time changed UtcTime: [発生日時(UTC)] Image: C:\WINDOWS\System32\spoolsv.exe TargetFilename: C:\Windows\System32\spool\drivers 以下の複数ファイル CreationUtcTime: [変更後のタイムスタンプ(UTC)] PreviousCreationUtcTime: [発生日時(UTC)] User: [ドメイン名]\[ユーザー名]
47	Microsoft-Windows-Sysmon/Operational	29	File Executable Detected	File Executable Detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\System32\spoolsv.exe TargetFilename: C:\Windows\System32\spool\drivers\x64\3\New\tsprint.dll Hashes: [ファイルのハッシュ値]
48	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\System32\spool\drivers\x64 以下の複数ファイルオブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: DELETE, SYNCHRONIZE, ReadAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\spoolsv.exe ファイル名は"ts"（Terminal Services）で始まる。
49	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\System32\spool\drivers\x64 以下の複数ファイルオブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: DELETE プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\spoolsv.exe ファイル名は"ts"（Terminal Services）で始まる。
50	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: SYSTEM サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\spoolsv.exe
51	Microsoft-Windows-Sysmon/Operational	23	File Delete archived	File Delete archived User: NT AUTHORITY\SYSTEM Image: C:\WINDOWS\System32\spoolsv.exe TargetFilename: C:\Windows\System32\spool\drivers 以下の複数ファイル Hashes: [ファイルのハッシュ値] IsExecutable: True Archived: True
52	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\TSTHEME.EXE-[ハッシュ値].pf アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
53	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\TSTHEME.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
54	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
55	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\RDPCLIP.EXE-[ハッシュ値].pf アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
56	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\RDPCLIP.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
57	Microsoft-Windows-Sysmon/Operational	11	File created	File created ProcessId: [プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\RDPCLIP.EXE-[ハッシュ値].pf CreationUtcTime: ファイル作成時刻
58	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [コンピューターアカウント] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
59	Security	4634	Logoff	アカウントがログオフしました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > ログオン ID: [イベント4624で記録されたログオンID] ログオンタイプ: 3
60	Security	4779	Other Logon/Logoff Events	セッションは Window Station から切断されました。サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] セッション > セッション名: RDP-Tcp#[セッションID] 追加情報 > クライアント名: [接続元ホスト名] 追加情報 > クライアントアドレス: [接続元IPアドレス]
61	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: SYSTEM 作成元サブジェクト > アカウント名: [コンピューターアカウント] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\System32\TSTheme.exe プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: C:\WINDOWS\system32\TSTheme.exe -Embedding ターゲットサブジェクト > セキュリティ ID: [ユーザーSID] ターゲットサブジェクト > アカウント名: [ユーザー名] ターゲットサブジェクト > アカウントドメイン: [ドメイン名] ターゲットサブジェクト > ログオン ID: [ログオンID] プロセス情報 > 作成元プロセス名: C:\Windows\System32\svchost.exe
62	Security	4673	Sensitive Privilege Use	特権のあるサービスが呼び出されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] サービス > サーバー: Security サービス要求情報 > 特権: SeProfileSingleProcessPrivilege プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\TSTheme.exe
63	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\TSTheme.exe
64	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. ProcessId: [プロセスID] Image: C:\Windows\System32\TSTheme.exe User: [ドメイン名]\[ユーザー名]

レジストリエントリ

#	パス	値
1	HKU\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\ThemeManager\ThemeActive	1
2	HKU\[ユーザーSID]\Remote\1\Control Panel\Desktop\WindowMetrics\MinAnimate	1
3	HKU\[ユーザーSID]\Remote\1\Control Panel\Desktop\UserPreferencesMask	[バイナリ値]
4	HKU\[ユーザーSID]\Software\Microsoft\Windows\CurrentVersion\Explorer\Remote\1\TaskbarAnimations\DefaultApplied	1
5	HKU\[ユーザーSID]\Remote\1\Control Panel\Desktop\SmoothScroll\DefaultApplied	1

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	C:\Windows\Prefetch\TSTHEME.EXE-[ハッシュ値].pf	TSTHEME.EXE	C:\WINDOWS\SYSTEM32\TSTHEME.EXE
2	C:\Windows\Prefetch\RDPCLIP.EXE-[ハッシュ値].pf	RDPCLIP.EXE	C:\WINDOWS\SYSTEM32\RDPCLIP.EXE

MFT

#	パス	ヘッダフラグ	備考
1	C:\Windows\Prefetch\TSTHEME.EXE-[ハッシュ値].pf	FILE	ALLOCATED
2	C:\Windows\Prefetch\RDPCLIP.EXE-[ハッシュ値].pf	FILE	ALLOCATED

USNジャーナル

#	ファイル名	処理	備考
1	TSTheme.exe	SECURITY\|CLOSE	ARCHIVE\|SPARSE\|RP
2	TSTHEME.EXE-[ハッシュ値].pf	CREATE\|EXTEND\|CLOSE	ARCHIVE\|NOINDEX
3	tsprint.dll	LINK\|CREATE\|EXTEND\|INFO\|CLOSE\|EA	ARCHIVE
4	tsprint-datafile.dat	LINK\|CREATE\|EXTEND\|INFO\|CLOSE	ARCHIVE
5	tsprint-PipelineConfig.xml	LINK\|CREATE\|EXTEND\|INFO\|CLOSE	ARCHIVE
6	RDPCLIP.EXE-[ハッシュ値].pf	CREATE\|EXTEND\|CLOSE	ARCHIVE\|NOINDEX

RDP

- 目次

- ツール概要

- ツール動作概要

- 概要

- 動作確認環境

- ログから得られる情報

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

レジストリエントリ

Prefetch

MFT

USNジャーナル

- 接続先

イベントログ

Prefetch

MFT

USNジャーナル

- 詳細情報

- 接続元

イベントログ

レジストリエントリ

Prefetch

MFT

USNジャーナル

- 接続先

イベントログ

レジストリエントリ

Prefetch

MFT

USNジャーナル

- パケット

- 備考

#	オペレーション	接続元ホスト	接続元ポート番号	接続先ホスト	接続先ポート	プロトコル	アプリケーション
1	Cookie: mstshash=[ドメイン名], Negotiate Request	[接続元ホスト]	[接続元ポート番号]	[接続先ホスト]	3389	tcp	RDP
2	Negotiate Response	[接続先ホスト]	3389	[接続元ホスト]	[接続元ポート番号]	tcp	RDP
3	Client Hello (SNI=[接続先ホスト])	[接続元ホスト]	[接続元ポート番号]	[接続先ホスト]	3389	tcp	TLSv1.3
4	Server Hello, Change Cipher Spec, Application Data	[接続先ホスト]	3389	[接続元ホスト]	[接続元ポート番号]	tcp	TLSv1.3
5	Change Cipher Spec, Application Data, Application Data	[接続元ホスト]	[接続元ポート番号]	[接続先ホスト]	3389	tcp	TLSv1.3
6	Application Data, Application Data	[接続先ホスト]	3389	[接続元ホスト]	[接続元ポート番号]	tcp	TLSv1.3
7	Application Data	[接続元ホスト]	[接続元ポート番号]	[接続先ホスト]	3389	tcp	TLSv1.3
8	Application Data	[接続先ホスト]	3389	[接続元ホスト]	[接続元ポート番号]	tcp	TLSv1.3
9	Cookie: mstshash=[ドメイン名], Negotiate Request	[接続元ホスト]	[接続元ポート番号]	[接続先ホスト]	3389	tcp	RDP
10	Negotiate Response	[接続先ホスト]	3389	[接続元ホスト]	[接続元ポート番号]	tcp	RDP
11	Client Hello (SNI=[接続先ホスト])	[接続元ホスト]	[接続元ポート番号]	[接続先ホスト]	3389	tcp	TLSv1.3
12	Server Hello, Change Cipher Spec, Application Data	[接続先ホスト]	3389	[接続元ホスト]	[接続元ポート番号]	tcp	TLSv1.3
13	Change Cipher Spec, Application Data, Application Data	[接続元ホスト]	[接続元ポート番号]	[接続先ホスト]	3389	tcp	TLSv1.3
14	Application Data, Application Data	[接続先ホスト]	3389	[接続元ホスト]	[接続元ポート番号]	tcp	TLSv1.3
15	Application Data	[接続元ホスト]	[接続元ポート番号]	[接続先ホスト]	3389	tcp	TLSv1.3
16	Application Data	[接続先ホスト]	3389	[接続元ホスト]	[接続元ポート番号]	tcp	TLSv1.3