| 1 |
Microsoft-Windows-Sysmon/Operational |
1 |
Process Create (rule: ProcessCreate) |
Process Create.
- UtcTime: プロセス実行日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\net.exe)
- CommandLine: 実行コマンドのコマンドライン (net use \\[接続先]\[共有パス])
- CurrentDirectory: 作業ディレクトリ
- User: 実行ユーザー
- LogonGuid/LogonId: ログオンセッションのID
- IntegrityLevel: 特権レベル
- Hashes: 実行ファイルのハッシュ値
- ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
- ParentImage: 親プロセスの実行ファイル
- ParentCommandLine: 親プロセスのコマンドライン
|
| セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > 新しいプロセスID: プロセスID (16進数)
- プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\net.exe)
- プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
- プロセス情報 > 必須ラベル: 権限昇格の要否 (Mandatory Label\High Mandatory Level)
- プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
- プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
- ログの日時: プロセス実行日時 (ローカル時刻)
|
| 2 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID (4)
- Image: 実行ファイルのパス (System)
- User: 実行ユーザー (NT AUTHORITY\SYSTEM)
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (接続先IPアドレス)
- DestinationHostname: 宛先ホスト名 (接続先ホスト名)
- DestinationPort: 宛先ポート番号 (445)
|
| セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID (4)
- アプリケーション情報 > アプリケーション名: 実行プロセス (System)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
| セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID (4)
- アプリケーション情報 > アプリケーション名: 実行プロセス (System)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (445)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
| 3 |
Microsoft-Windows-Sysmon/Operational |
11 |
File created (rule: FileCreate) |
File created.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
- TargetFilename: 作成されたファイル (C:\Windows\Prefetch\NET.EXE-[文字列].pf)
- CreationUtcTime: ファイル作成日時 (UTC)
|
| セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NET.EXE-[文字列].pf)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile,AppendDataを含む)
|
| セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NET.EXE-[文字列].pf)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile、AppendData)
- 成功の監査: 成否 (アクセス成功)
|
| セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
|
| 4 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
- User: 実行ユーザー (NT AUTHORITY\SYSTEM)
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (88)
|
| セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
| セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
| 5 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
- User: 実行ユーザー (NT AUTHORITY\SYSTEM)
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (88)
|
| セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
| セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
| 6 |
Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected (rule: NetworkConnect) |
Network connection detected.
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
- User: 実行ユーザー (NT AUTHORITY\SYSTEM)
- Protocol: プロトコル (tcp)
- SourceIp: 送信元IPアドレス (接続元IPアドレス)
- SourceHostname: 送信元ホスト名 (接続元ホスト名)
- SourcePort: 送信元ポート番号 (ハイポート)
- DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
- DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
- DestinationPort: 宛先ポート番号 (88)
|
| セキュリティ |
5158 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
- ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
|
| セキュリティ |
5156 |
フィルタリング プラットフォームの接続 |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセスID: プロセスID
- アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
- ネットワーク情報 > 方向: 通信方向 (送信)
- ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
- ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
- ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
- ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
- ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
|
| 7 |
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: ファイルの種類
- オブジェクト > オブジェクト名: 対象のファイル名 (ネットワーク経由でコピーするように指定したファイル)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (SYNCHRONIZE, WriteAttributes)
|
| セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクトの種類: 対象の区分 (File)
- オブジェクト > オブジェクト名: 対象のファイル名 (ネットワーク経由でコピーするように指定したファイル)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteAttributes)
- 成功の監査: 成否 (アクセス成功)
|
| セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名
|