netコマンド (net user/group)

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
ユーザー・グループの追加・削除
説明
ホストまたはドメイン上に、ユーザーアカウントを追加する。
攻撃時における想定利用例
アカウントを作成し、他のホストログインしたりする。

- ツール動作概要

項目 接続元 ドメインコントローラー
権限 管理者ユーザー
ドメインへの所属
サービス Workstation Active Directory Domain Services
OS Windows Windows Server

- ログから得られる情報

標準設定
  • 接続元
    • 実行履歴 (Prefetch)
  • ドメインコントローラー
    • ユーザー・グループが追加・変更・削除された記録 (監査ポリシー)
追加設定
  • 接続元
    • 実行履歴 (監査ポリシー, Sysmon)
    • コマンドラインで指定されたユーザー名・パスワード・グループ名 (Sysmon)

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\net.exe)
  • CommandLine: 実行コマンドのコマンドライン (net user [追加するユーザー名] [パスワード] /add /domain)
  • User: 実行ユーザー
2 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\net1.exe)
  • CommandLine: 実行コマンドのコマンドライン (net1 user [追加するユーザー名] [パスワード] /add /domain)
  • User: 実行ユーザー
  • ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\net.exe)
  • ParentCommandLine: 親プロセスのコマンドライン (net user [追加するユーザー名] [パスワード] /add /domain)
3 セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID: 実行したユーザーSID (ユーザーSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (アカウント名)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\net.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)

Prefetch

- ドメインコントローラー

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (ドメインコントローラー ポート445, 88)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (接続元)
2 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン (S-1-0-0/-/-)
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID (0x0)
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数) (0x0)
  • プロセス情報 > プロセス名: 実行ファイルのパス (-)
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerbers)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
3 セキュリティ 4661 SAM オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • オブジェクト > オブジェクト サーバー: SecurityAccount Manager (Security Account Manager)
  • オブジェクト > オブジェクトの種類: 対象の区分 (SAM_DOMAIN)
  • オブジェクト > オブジェクト名: 対象のオブジェクト名 (DN)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス: 要求された権限 (DELETE)
4 セキュリティ 4720 ユーザー アカウント管理 ユーザー アカウントが作成されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • 新しいアカウント > セキュリティID: 作成されたユーザーのSID (一般ユーザーのSID)
  • 新しいアカウント > アカウント名: 作成されたアカウント名 (追加したユーザー名)
  • 新しいアカウント > アカウント ドメイン: 作成されたユーザーの所属ドメイン (ドメイン)
  • 属性 > SAM アカウント名: 作成されたユーザーのSAM アカウント名 (追加したユーザー名)
  • 属性 > 表示名: 作成されたユーザーの表示名
  • 属性 > ユーザー プリンシパル名: 作成されたユーザーのプリンシパル名 (-)
  • 属性 > ホーム ディレクトリ: 作成されたユーザーのホーム ディレクトリ
  • 属性 > ホーム ドライブ: 作成されたユーザーのホーム ドライブ
  • 属性 > スクリプトのパス: 作成されたユーザーのスクリプトのパス
  • 属性 > プロファイル パス: 作成されたユーザーのプロファイルのパス
  • 属性 > ユーザー ワークステーション: 作成されたユーザーのワークステーション名
  • 属性 > 最後に設定されたパスワード: 作成されたユーザーの最後に設定されたパスワード
  • 属性 > アカウント有効期限終了日: 作成されたユーザーのアカウント有効期限終了日
  • 属性 > プライマリ グループID: 作成されたユーザーの所属するプライマリ グループID (513)
  • 属性 > 許可された委任先: 作成されたユーザーの許可された委任先 (-)
  • 属性 > 旧 UAC の値: 作成されたユーザーの旧 UAC の値 (0x0)
  • 属性 > 新 UAC の値: 作成されたユーザーの新 UAC の値 (0x15)
  • 属性 > ユーザー アカウント制御: 作成されたユーザーのアカウント制御
  • 属性 > ユーザー パラメーター: 作成されたユーザーのパラメーター
  • 属性 > SID の履歴: 作成されたユーザーのSIDの履歴 (-)
  • 属性 > ログオン時間: 作成されたユーザーのログオンした時間
  • 追加情報 > 特権: 作成されたユーザーの特権情報 (-)
5 セキュリティ 4722 ユーザー アカウント管理 ユーザー アカウントが有効化されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • ターゲット アカウント > セキュリティID: 有効化されたユーザーSID (一般ユーザーのSID)
  • ターゲット アカウント > アカウント名: 有効化されたアカウント名 (追加したユーザー名)
  • ターゲット アカウント > アカウント ドメイン: 有効化されたアカウントの所属ドメイン (ドメイン)
6 セキュリティ 4724 ユーザー アカウント管理 アカウントのパスワードのリセットが試行されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • ターゲット アカウント > セキュリティID: パスワードのリセットが試行されたユーザーSID (一般ユーザーのSID)
  • ターゲット アカウント > アカウント名: パスワードのリセットが試行されたアカウント名 (追加したユーザー名)
  • ターゲット アカウント > アカウント ドメイン: パスワードのリセットが試行されたアカウントの所属ドメイン (ドメイン)
7 セキュリティ 4738 ユーザー アカウント管理 ユーザー アカウントが変更されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • ターゲット アカウント > セキュリティID: 変更されたグループSID (一般ユーザーのSID)
  • ターゲット アカウント > アカウント名: 変更されたグループ名 (追加したユーザー名)
  • ターゲット アカウント > アカウント ドメイン: 変更されたグループの所属ドメイン (ドメイン)
  • 変更された属性 > SAM アカウント名: 変更されたユーザーのSAM アカウント名 (-)
  • 変更された属性 > 表示名: 変更されたユーザーの表示名
  • 変更された属性 > ユーザー プリンシパル名: 変更されたユーザーのプリンシパル名 (-)
  • 変更された属性 > ホーム ディレクトリ: 変更されたユーザーのホーム ディレクトリ (-)
  • 変更された属性 > ホーム ドライブ: 変更されたユーザーのホーム ドライブ (-)
  • 変更された属性 > スクリプトのパス: 変更されたユーザーのスクリプトのパス (-)
  • 変更された属性 > プロファイル パス: 変更されたユーザーのプロファイルのパス (-)
  • 変更された属性 > ユーザー ワークステーション: 変更されたユーザーのワークステーション名 (-)
  • 変更された属性 > 最後に設定されたパスワード: 変更されたユーザーの最後に設定されたパスワード (実行時間)
  • 変更された属性 > アカウント有効期限終了日: 変更されたユーザーのアカウント有効期限終了日
  • 変更された属性 > プライマリ グループID: 変更されたユーザーの所属するプライマリ グループID (-)
  • 変更された属性 > 許可された委任先: 変更されたユーザーの許可された委任先 (-)
  • 変更された属性 > 旧 UAC の値: 変更されたユーザーの旧 UAC の値 (0x15)
  • 変更された属性 > 新 UAC の値: 変更されたユーザーの新 UAC の値 (0x10)
  • 変更された属性 > ユーザー アカウント制御: 変更されたユーザーのアカウント制御 (アカウントは有効です)
  • 変更された属性 > ユーザー パラメーター: 変更されたユーザーのパラメーター (-)
  • 変更された属性 > SID の履歴: 変更されたユーザーのSIDの履歴 (-)
  • 変更された属性 > ログオン時間: 変更されたユーザーのログオンした時間 (-)
  • 追加情報 > 特権: 変更されたユーザーの特権情報 (-)
8 セキュリティ 4634 ログオフ アカウントがログオフしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • ログオン タイプ: ログオンの経路・方式など (3=ネットワーク)
9 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (ドメインコントローラー ポート445)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (接続元)
10 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン (S-1-0-0/-/-)
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン (-)
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
11 セキュリティ 4661 SAM オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • オブジェクト > オブジェクト サーバー: SecurityAccount Manager (Security Account Manager)
  • オブジェクト > オブジェクトの種類: 対象の区分 (SAM_DOMAIN)
  • オブジェクト > オブジェクト名: 対象のオブジェクト名 (DN)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
12 セキュリティ 4728 セキュリティ グループ管理 セキュリティが有効なグローバル グループにメンバーが追加されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • メンバー > セキュリティID: グローバル グループに追加されたユーザーSID (作成したユーザーのSID)
  • メンバー > アカウント名: グローバル グループに追加されたアカウント名 (CN=[作成したユーザー名],CN=[OU],DC=[DN])
  • グループ > セキュリティID: メンバーが追加されたグループSID (ドメイン管理者グループのSID)
  • グループ > グループ名: メンバーが追加されたグループ名 (Domain Admins)
  • グループ > グループ ドメイン: メンバーが追加されたグループの所属ドメイン (ドメイン)
13 セキュリティ 4737 セキュリティ グループ管理 セキュリティが有効なグローバル グループが変更されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • グループ > セキュリティID: 変更されたグループSID (ドメイン管理者グループのSID)
  • グループ > グループ名: 変更されたグループ名 (Domain Admins)
  • グループ > グループ ドメイン: 変更されたグループの所属ドメイン (ドメイン)
  • 変更された属性 > SAM アカウント名: 変更されたSAMのアカウント名 (-)
  • 変更された属性 > SID の履歴: 変更されたSIDの履歴 (-)
  • 追加情報 > 特権: 変更されたグループの特権 (-)
14 セキュリティ 4634 ログオフ アカウントがログオフしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • ログオン タイプ: ログオンの経路・方式など (3=ネットワーク)
15 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID (4)
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (ドメインコントローラー ポート445)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (接続元)
16 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン (S-1-0-0/-/-)
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
17 セキュリティ 4661 SAM オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • オブジェクト > オブジェクト サーバー: SecurityAccount Manager (Security Account Manager)
  • オブジェクト > オブジェクトの種類: 対象の区分 (SAM_DOMAIN)
  • オブジェクト > オブジェクト名: 対象のオブジェクト名 (DC=[DN])
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
18 セキュリティ 4726 ユーザー アカウント管理 ユーザー アカウントが削除されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • ターゲット アカウント > セキュリティID: パスワードのリセットが試行されたユーザーSID (一般ユーザーのSID)
  • ターゲット アカウント > アカウント名: パスワードのリセットが試行されたアカウント名 (削除したユーザー名)
  • ターゲット アカウント > アカウント ドメイン: パスワードのリセットが試行されたアカウントの所属ドメイン (ドメイン)
19 セキュリティ 4634 ログオフ アカウントがログオフしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • ログオン タイプ: ログオンの経路・方式など (3=ネットワーク)

- 詳細:接続元

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\net.exe)
  • CommandLine: 実行コマンドのコマンドライン (net user [追加するユーザー名] [パスワード] /add /domain)
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (High)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\net.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
2 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\net1.exe)
  • CommandLine: 実行コマンドのコマンドライン (net1 user [追加するユーザー名] [パスワード] /add /domain)
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (High)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\net.exe)
  • ParentCommandLine: 親プロセスのコマンドライン (net user [追加するユーザー名] [パスワード] /add /domain)
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\net1.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス (C:\Windows\System32\net.exe)
  • ログの日時: プロセス実行日時 (ローカル時刻)
3 Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (C:\Windows\system32\net.exe)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\system32\net1.exe)
  • GrantedAccess: 許可されたアクセスの内容
4 セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (17=UDP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (389)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (17=UDP)
5 セキュリティ 4703 Token Right Adjusted Events A token right was adjusted.
  • Subject > Security ID/Account Name/Account Domain: 実行したユーザーSID/アカウント名/ドメイン (SYSTEM/[接続元ホスト名]/[ドメイン名])
  • Subject > Logon ID: プロセスを実行したユーザーのセッションID
  • Target Account > Security ID/Account Name/Account Domain: 対象のユーザーSID/アカウント名/ドメイン (S-1-0-0/[アカウント名]/[ドメイン])
  • Target Account > Logon ID: 対象ユーザーのセッションID
  • Process Information > Process ID: 実行したプロセスID
  • Process Information > Process Name: 実行したプロセス名 (C:\Windows\System32\lsass.exe)
  • Enabled Privileges: 有効化された権限 (SeIncreaseQuotaPrivilege, SeSecurityPrivilege, SeTakeOwnershipPrivilege, SeLoadDriverPrivilege, SeSystemProfilePrivilege, SeSystemtimePrivilege, SeProfileSingleProcessPrivilege, SeIncreaseBasePriorityPrivilege, SeCreatePagefilePrivilege, SeBackupPrivilege, SeRestorePrivilege, SeShutdownPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeRemoteShutdownPrivilege, SeUndockPrivilege, SeManageVolumePrivilege, SeIncreaseWorkingSetPrivilege, SeTimeZonePrivilege, SeCreateSymbolicLinkPrivilege, SeDelegateSessionUserImpersonatePrivilege)
  • Disabled Privileges: 無効化された権限 (-)
6 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (445)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (445)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
7 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (88)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (88)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
8 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[アカウント名]\AppData\Roaming\Microsoft\Credentials)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (SYNCHRONIZE, WriteAttributes を含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID
  • サブジェクト > アカウント名: 実行したアカウント名
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Users\[アカウント名]\AppData\Roaming\Microsoft\Credentials)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\lsass.exe)
9 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\net1.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID: 実行したユーザーSID (ユーザーSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (アカウント名)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\net1.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
10 Microsoft-Windows-Sysmon/Operational 11 File created (rule: FileCreate) File created.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe)
  • TargetFilename: 作成されたファイル (C:\Windows\Prefetch\NET1.EXE-[文字列].pf)
  • CreationUtcTime: ファイル作成日時 (UTC)
セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続元ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NET1.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (READ_CONTROL/-/[16進数])
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続元ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NET1.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
11 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\net.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\net.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
12 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NET.EXE-[英数].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NET.EXE-[英数].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
13 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\net.exe)
  • CommandLine: 実行コマンドのコマンドライン (net group "domain admins" [追加するユーザー名] /add /domain)
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (High)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\net.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
14 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\net1.exe)
  • CommandLine: 実行コマンドのコマンドライン (C:\Windows\system32\net1 group "domain admins" [追加するユーザー名] /add /domain)
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (High)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\net.exe)
  • ParentCommandLine: 親プロセスのコマンドライン (net group "domain admins" [追加するユーザー名] /add /domain)
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\net1.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス (C:\Windows\System32\net.exe)
  • ログの日時: プロセス実行日時 (ローカル時刻)
15 Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (C:\Windows\System32\net.exe)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\System32\net1.exe)
  • GrantedAccess: 許可されたアクセスの内容 (0x1fffff)
16 セキュリティ 4703 Token Right Adjusted Events A token right was adjusted.
  • Subject > Security ID/Account Name/Account Domain: 実行したユーザーSID/アカウント名/ドメイン (SYSTEM/[接続元ホスト名]$/[ドメイン名])
  • Subject > Logon ID: プロセスを実行したユーザーのセッションID
  • Target Account > Security ID/Account Name/Account Domain: 対象のユーザーSID/アカウント名/ドメイン (S-1-0-0/[アカウント名]/[ドメイン])
  • Target Account > Logon ID: 対象ユーザーのセッションID
  • Process Information > Process ID: 実行したプロセスID
  • Process Information > Process Name: 実行したプロセス名 (C:\Windows\System32\lsass.exe)
  • Enabled Privileges: 有効化された権限 (SeIncreaseQuotaPrivilege, SeSecurityPrivilege, SeTakeOwnershipPrivilege, SeLoadDriverPrivilege, SeSystemProfilePrivilege, SeSystemtimePrivilege, SeProfileSingleProcessPrivilege, SeIncreaseBasePriorityPrivilege, SeCreatePagefilePrivilege, SeBackupPrivilege, SeRestorePrivilege, SeShutdownPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeRemoteShutdownPrivilege, SeUndockPrivilege, SeManageVolumePrivilege, SeIncreaseWorkingSetPrivilege, SeTimeZonePrivilege, SeCreateSymbolicLinkPrivilege, SeDelegateSessionUserImpersonatePrivilege)
  • Disabled Privileges: 無効化された権限 (-)
17 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID (4)
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコルtcp
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (接続先IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続先ホスト名)
  • DestinationPort: 宛先ポート番号 (445)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (445)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
18 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\net1.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\net1.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
19 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続元ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NET1.EXE-[英数].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続元ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NET1.EXE-[英数].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続元ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
20 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\net.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID: 実行したユーザーSID (ユーザーSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (アカウント名)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\net.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
21 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続元ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NET.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続元ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NET.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続元ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
22 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\net.exe)
  • CommandLine: 実行コマンドのコマンドライン (net user [作成するユーザー名] /delete /domain)
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (High)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル
  • ParentCommandLine: 親プロセスのコマンドライン
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\net.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス
  • ログの日時: プロセス実行日時 (ローカル時刻)
23 Microsoft-Windows-Sysmon/Operational 1 Process Create (rule: ProcessCreate) Process Create.
  • UtcTime: プロセス実行日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\net1.exe)
  • CommandLine: 実行コマンドのコマンドライン (C:\Windows\System32\net1 user netusertest /delete /domain)
  • CurrentDirectory: 作業ディレクトリ
  • User: 実行ユーザー
  • LogonGuid/LogonId: ログオンセッションのID
  • IntegrityLevel: 特権レベル (High)
  • Hashes: 実行ファイルのハッシュ値
  • ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
  • ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\net.exe)
  • ParentCommandLine: 親プロセスのコマンドライン (net user [作成するユーザー名] /delete /domain)
セキュリティ 4688 プロセス作成 新しいプロセスが作成されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > 新しいプロセスID: プロセスID (16進数)
  • プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\net1.exe)
  • プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
  • プロセス情報 > 必須ラベル: 権限昇格の要否
  • プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
  • プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス (C:\Windows\System32\net.exe)
  • ログの日時: プロセス実行日時 (ローカル時刻)
24 Microsoft-Windows-Sysmon/Operational 10 Process accessed (rule: ProcessAccess) Process accessed.
  • SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID
  • SourceImage: アクセス元プロセスのパス (C:\Windows\System32\net.exe)
  • TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID
  • TargetImage: アクセス先プロセスのパス (C:\Windows\System32\net1.exe)
  • GrantedAccess: 許可されたアクセスの内容
25 セキュリティ 4703 Token Right Adjusted Events A token right was adjusted.
  • Subject > Security ID/Account Name/Account Domain: 実行したユーザーSID/アカウント名/ドメイン (SYSTEM/[接続元ホスト名]/[ドメイン名])
  • Subject > Logon ID: プロセスを実行したユーザーのセッションID
  • Target Account > Security ID/Account Name/Account Domain: 対象のユーザーSID/アカウント名/ドメイン (S-1-0-0/[アカウント名]/[ドメイン])
  • Target Account > Logon ID: 対象ユーザーのセッションID
  • Process Information > Process ID: 実行したプロセスID
  • Process Information > Process Name: 実行したプロセス名 (C:\Windows\System32\lsass.exe)
  • Enabled Privileges: 有効化された権限 (SeIncreaseQuotaPrivilege, SeSecurityPrivilege, SeTakeOwnershipPrivilege, SeLoadDriverPrivilege, SeSystemProfilePrivilege, SeSystemtimePrivilege, SeProfileSingleProcessPrivilege, SeIncreaseBasePriorityPrivilege, SeCreatePagefilePrivilege, SeBackupPrivilege, SeRestorePrivilege, SeShutdownPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeRemoteShutdownPrivilege, SeUndockPrivilege, SeManageVolumePrivilege, SeIncreaseWorkingSetPrivilege, SeTimeZonePrivilege, SeCreateSymbolicLinkPrivilege, SeDelegateSessionUserImpersonatePrivilege)
  • Disabled Privileges: 無効化された権限 (-)
26 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID (4)
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (接続元IPアドレス)
  • SourceHostname: 送信元ホスト名 (接続元ホスト名)
  • SourcePort: 送信元ポート番号 (ハイポート)
  • DestinationIp: 宛先IPアドレス (ドメインコントローラーIPアドレス)
  • DestinationHostname: 宛先ホスト名 (ドメインコントローラーホスト名)
  • DestinationPort: 宛先ポート番号 (445)
セキュリティ 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > ソース ポート: バインドしたローカルポート (ハイポート)
  • ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID (4)
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (送信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (445)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
27 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\net1.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID: 実行したユーザーSID (ユーザーSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (アカウント名)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\net1.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
28 Microsoft-Windows-Sysmon/Operational 5 Process terminated (rule: ProcessTerminate) Process terminated.
  • UtcTime: プロセス終了日時 (UTC)
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\net.exe)
セキュリティ 4689 プロセス終了 プロセスが終了しました。
  • ログの日時: プロセス終了日時 (ローカル時刻)
  • サブジェクト > セキュリティID: 実行したユーザーSID (ユーザーSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (アカウント名)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\net.exe)
  • プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
29 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続元ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NET1.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続元ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NET1.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続元ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)
30 セキュリティ 4656 ファイル システム / その他のオブジェクト アクセス イベント オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続元ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: ファイルの種類 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NET.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
セキュリティ 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続元ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクトの種類: 対象の区分 (File)
  • オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\NET.EXE-[文字列].pf)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
  • アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM)
  • サブジェクト > アカウント名: 実行したアカウント名 (接続元ホスト)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)

- MFT

# パス ヘッダフラグ 有効
1 [ドライブ名]:\Windows\Prefetch\NET1.EXE-[文字列].pf FILE ALLOCATED
2 [ドライブ名]:\Windows\Prefetch\NET.EXE-[文字列].pf FILE ALLOCATED

- Prefetch

# Prefetchファイル プロセス名 プロセスパス ログから得られる情報
1 C:\Windows\Prefetch\NET1.EXE-[文字列].pf NET.EXE C:\WINDOWS\SYSTEM32\NET1.EXE Last Run Time (最終実行日時)
2 C:\Windows\Prefetch\NET.EXE-[文字列].pf NET.EXE C:\WINDOWS\SYSTEM32\NET.EXE Last Run Time (最終実行日時)

- USNジャーナル

# ファイル名 処理 属性
1 NET1.EXE-[文字列].pf FILE_CREATE archive+not_indexed
NET1.EXE-[文字列].pf DATA_EXTEND+FILE_CREATE archive+not_indexed
NET1.EXE-[文字列].pf CLOSE+DATA_EXTEND+FILE_CREATE archive+not_indexed
2 NET.EXE-[文字列].pf FILE_CREATE archive+not_indexed
NET.EXE-[文字列].pf DATA_EXTEND+FILE_CREATE archive+not_indexed
NET.EXE-[文字列].pf CLOSE+DATA_EXTEND+FILE_CREATE archive+not_indexed
3 NET1.EXE-[文字列].pf DATA_TRUNCATION archive+not_indexed
NET1.EXE-[文字列].pf DATA_EXTEND+DATA_TRUNCATION archive+not_indexed
NET1.EXE-[文字列].pf CLOSE+DATA_EXTEND+DATA_TRUNCATION archive+not_indexed
4 NET.EXE-[文字列].pf DATA_TRUNCATION archive+not_indexed
NET.EXE-[文字列].pf DATA_EXTEND+DATA_TRUNCATION archive+not_indexed
NET.EXE-[文字列].pf CLOSE+DATA_EXTEND+DATA_TRUNCATION archive+not_indexed

- 詳細:接続先

- イベントログ

# イベントログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (udp)
  • SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (389)
  • DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (389)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (17=UDP)
2 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (445)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (445)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
3 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (C:\Windows\System32\lsass.exe)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (88)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\lsass.exe)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (88)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
セキュリティ 4768 Kerberos 認証サービス Kerberos 認証チケット (TGT) が要求されました。
  • アカウント情報 > アカウント名: チケットを要求されたアカウント名 (管理者ユーザー)
  • アカウント情報 > 提供された領域名: アカウントのドメイン (ドメイン)
  • アカウント情報 > ユーザーID: アカウントのSID (管理者ユーザーのSID)
  • ネットワーク情報 > クライアント アドレス: チケットの要求元IPアドレス (接続元ホスト)
  • ネットワーク情報 > クライアント ポート: チケット要求の送信元ポート番号 (ハイポート)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x40810010)
  • 追加情報 > 結果コード: チケットの処理結果 (0x0)
4 セキュリティ 4769 Kerberos サービス チケットの操作 Kerberos サービス チケットが要求されました。
  • アカウント情報 > アカウント名: チケットを要求されたアカウント名 ([管理者ユーザー]@[ドメイン])
  • アカウント情報 > アカウント ドメイン: アカウントのドメイン (ドメイン)
  • アカウント情報 > ログオンGUID: ログオンのセッションID
  • サービス情報 > サービス名: チケットのサービス名 ([ドメインコントローラーホスト名]$)
  • サービス情報 > サービスID: サービスのSID (標準ユーザーのSID)
  • ネットワーク情報 > クライアント アドレス: チケットの要求元IPアドレス (接続元ホスト)
  • ネットワーク情報 > クライアント ポート: チケット要求の送信元ポート番号 (ハイポート)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x40810000)
  • 追加情報 > エラー コード: チケットの処理結果 (0x0)
セキュリティ 4769 Kerberos サービス チケットの操作 Kerberos サービス チケットが要求されました。
  • アカウント情報 > アカウント名: チケットを要求されたアカウント名 ([管理者ユーザー]@[ドメイン])
  • アカウント情報 > アカウント ドメイン: アカウントのドメイン (ドメイン)
  • アカウント情報 > ログオンGUID: ログオンのセッションID
  • サービス情報 > サービス名: チケットのサービス名 (krbtgt)
  • サービス情報 > サービスID: サービスのSID (KDCサービスのSID)
  • ネットワーク情報 > クライアント アドレス: チケットの要求元IPアドレス (接続元ホスト)
  • ネットワーク情報 > クライアント ポート: チケット要求の送信元ポート番号 (ハイポート)
  • 追加情報 > チケット オプション: チケットの設定内容 (0x40810000)
  • 追加情報 > エラー コード: チケットの処理結果 (0x0)
5 セキュリティ 4672 特殊なログオン 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • 特権: 割り当てられた特権 (SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeEnableDelegationPrivilege)
6 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン (S-1-0-0/-/-)
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID (0x0)
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数) (0x0)
  • プロセス情報 > プロセス名: 実行ファイルのパス (-)
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerbers)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
7 セキュリティ 5140 ファイルの共有 ネットワーク共有オブジェクトにアクセスしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > 送信元/ソース ポート: 実行元ホスト/ポート番号
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 使用された共有名 (\*\IPC$)
  • 共有情報 > 共有パス: 共有のパス
  • アクセス要求情報 > アクセス: 要求された権限 (ReadData)
セキュリティ 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
  • ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 共有名 (\*\IPC$)
  • 共有情報 > 共有パス: 共有のパス
  • 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (samr)
  • アクセス要求情報 > アクセス: 要求された権限
8 セキュリティ 4661 SAM オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト サーバー: SecurityAccount Manager (Security Account Manager)
  • オブジェクト > オブジェクトの種類: 対象の区分 (SAM_DOMAIN)
  • オブジェクト > オブジェクト名: 対象のオブジェクト名 (DN)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4661 SAM オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト サーバー: SecurityAccount Manager (Security Account Manager)
  • オブジェクト > オブジェクトの種類: 対象の区分 (SAM_DOMAIN)
  • オブジェクト > オブジェクト名: 対象のオブジェクト名 (DN)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 ({bf967a90-0de6-11d0-a285-00aa003049e2})
  • アクセス要求情報 > アクセス: 要求された権限 (ListAccounts)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4720 ユーザー アカウント管理 ユーザー アカウントが作成されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • 新しいアカウント > セキュリティID: 作成されたユーザーのSID (一般ユーザーのSID)
  • 新しいアカウント > アカウント名: 作成されたアカウント名 (追加したユーザー名)
  • 新しいアカウント > アカウント ドメイン: 作成されたユーザーの所属ドメイン (ドメイン)
  • 属性 > SAM アカウント名: 作成されたユーザーのSAM アカウント名 (追加したユーザー名)
  • 属性 > 表示名: 作成されたユーザーの表示名
  • 属性 > ユーザー プリンシパル名: 作成されたユーザーのプリンシパル名 (-)
  • 属性 > ホーム ディレクトリ: 作成されたユーザーのホーム ディレクトリ
  • 属性 > ホーム ドライブ: 作成されたユーザーのホーム ドライブ
  • 属性 > スクリプトのパス: 作成されたユーザーのスクリプトのパス
  • 属性 > プロファイル パス: 作成されたユーザーのプロファイルのパス
  • 属性 > ユーザー ワークステーション: 作成されたユーザーのワークステーション名
  • 属性 > 最後に設定されたパスワード: 作成されたユーザーの最後に設定されたパスワード
  • 属性 > アカウント有効期限終了日: 作成されたユーザーのアカウント有効期限終了日
  • 属性 > プライマリ グループID: 作成されたユーザーの所属するプライマリ グループID (513)
  • 属性 > 許可された委任先: 作成されたユーザーの許可された委任先 (-)
  • 属性 > 旧 UAC の値: 作成されたユーザーの旧 UAC の値 (0x0)
  • 属性 > 新 UAC の値: 作成されたユーザーの新 UAC の値 (0x15)
  • 属性 > ユーザー アカウント制御: 作成されたユーザーのアカウント制御
  • 属性 > ユーザー パラメーター: 作成されたユーザーのパラメーター
  • 属性 > SID の履歴: 作成されたユーザーのSIDの履歴 (-)
  • 属性 > ログオン時間: 作成されたユーザーのログオンした時間
  • 追加情報 > 特権: 作成されたユーザーの特権情報 (-)
セキュリティ 4722 ユーザー アカウント管理 ユーザー アカウントが有効化されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオン ID: プロセスを実行したユーザーのセッションID
  • ターゲット アカウント > セキュリティID: 有効化されたユーザーSID (一般ユーザーのSID)
  • ターゲット アカウント > アカウント名: 有効化されたアカウント名 (追加したユーザー名)
  • ターゲット アカウント > アカウント ドメイン: 有効化されたアカウントの所属ドメイン (ドメイン)
セキュリティ 4724 ユーザー アカウント管理 アカウントのパスワードのリセットが試行されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオン ID: プロセスを実行したユーザーのセッションID
  • ターゲット アカウント > セキュリティID: パスワードのリセットが試行されたユーザーSID (一般ユーザーのSID)
  • ターゲット アカウント > アカウント名: パスワードのリセットが試行されたアカウント名 (追加したユーザー名)
  • ターゲット アカウント > アカウント ドメイン: パスワードのリセットが試行されたアカウントの所属ドメイン (ドメイン)
セキュリティ 4738 ユーザー アカウント管理 ユーザー アカウントが変更されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオン ID: プロセスを実行したユーザーのセッションID
  • ターゲット アカウント > セキュリティID: 変更されたグループSID (一般ユーザーのSID)
  • ターゲット アカウント > アカウント名: 変更されたグループ名 (追加したユーザー名)
  • ターゲット アカウント > アカウント ドメイン: 変更されたグループの所属ドメイン (ドメイン)
  • 変更された属性 > SAM アカウント名: 変更されたユーザーのSAM アカウント名 (-)
  • 変更された属性 > 表示名: 変更されたユーザーの表示名
  • 変更された属性 > ユーザー プリンシパル名: 変更されたユーザーのプリンシパル名 (-)
  • 変更された属性 > ホーム ディレクトリ: 変更されたユーザーのホーム ディレクトリ (-)
  • 変更された属性 > ホーム ドライブ: 変更されたユーザーのホーム ドライブ (-)
  • 変更された属性 > スクリプトのパス: 変更されたユーザーのスクリプトのパス (-)
  • 変更された属性 > プロファイル パス: 変更されたユーザーのプロファイルのパス (-)
  • 変更された属性 > ユーザー ワークステーション: 変更されたユーザーのワークステーション名 (-)
  • 変更された属性 > 最後に設定されたパスワード: 変更されたユーザーの最後に設定されたパスワード (実行時間)
  • 変更された属性 > アカウント有効期限終了日: 変更されたユーザーのアカウント有効期限終了日
  • 変更された属性 > プライマリ グループID: 変更されたユーザーの所属するプライマリ グループID (-)
  • 変更された属性 > 許可された委任先: 変更されたユーザーの許可された委任先 (-)
  • 変更された属性 > 旧 UAC の値: 変更されたユーザーの旧 UAC の値 (0x15)
  • 変更された属性 > 新 UAC の値: 変更されたユーザーの新 UAC の値 (0x10)
  • 変更された属性 > ユーザー アカウント制御: 変更されたユーザーのアカウント制御 (アカウントは有効です)
  • 変更された属性 > ユーザー パラメーター: 変更されたユーザーのパラメーター (-)
  • 変更された属性 > SID の履歴: 変更されたユーザーのSIDの履歴 (-)
  • 変更された属性 > ログオン時間: 変更されたユーザーのログオンした時間 (-)
  • 追加情報 > 特権: 変更されたユーザーの特権情報 (-)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\lsass.exe)
セキュリティ 4634 ログオフ アカウントがログオフしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオン タイプ: ログオンの経路・方式など (3=ネットワーク)
9 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (445)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (445)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
10 セキュリティ 4672 特殊なログオン 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • 特権: 割り当てられた特権 (SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeEnableDelegationPrivilege)
11 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン (S-1-0-0/-/-)
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > パッケージ名 (NTLMのみ): NTLMのバージョン (-)
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
12 セキュリティ 5140 ファイルの共有 ネットワーク共有オブジェクトにアクセスしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > 送信元/ソース ポート: 実行元ホスト/ポート番号
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 使用された共有名 (\*\IPC$)
  • 共有情報 > 共有パス: 共有のパス
  • アクセス要求情報 > アクセス: 要求された権限 (ReadData)
セキュリティ 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
  • ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 共有名 (\*\IPC$)
  • 共有情報 > 共有パス: 共有のパス
  • 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (samr)
  • アクセス要求情報 > アクセス: 要求された権限
13 セキュリティ 4661 SAM オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト サーバー: SecurityAccount Manager (Security Account Manager)
  • オブジェクト > オブジェクトの種類: 対象の区分 (SAM_DOMAIN)
  • オブジェクト > オブジェクト名: 対象のオブジェクト名 (DN)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4661 SAM オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト サーバー: SecurityAccount Manager (Security Account Manager)
  • オブジェクト > オブジェクトの種類: 対象の区分 (SAM_GROUP)
  • オブジェクト > オブジェクト名: 対象のオブジェクト名 (ドメイン管理者グループのSID)
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4728 セキュリティ グループ管理 セキュリティが有効なグローバル グループにメンバーが追加されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオン ID: プロセスを実行したユーザーのセッションID
  • メンバー > セキュリティID: グローバル グループに追加されたユーザーSID (作成したユーザーのSID)
  • メンバー > アカウント名: グローバル グループに追加されたアカウント名 (CN=[作成したユーザー名],CN=[OU],DC=[DN])
  • グループ > セキュリティID: メンバーが追加されたグループSID (ドメイン管理者グループのSID)
  • グループ > グループ名: メンバーが追加されたグループ名 (Domain Admins)
  • グループ > グループ ドメイン: メンバーが追加されたグループの所属ドメイン (ドメイン)
セキュリティ 4737 セキュリティ グループ管理 セキュリティが有効なグローバル グループが変更されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオン ID: プロセスを実行したユーザーのセッションID
  • グループ > セキュリティID: 変更されたグループSID (ドメイン管理者グループのSID)
  • グループ > グループ名: 変更されたグループ名 (Domain Admins)
  • グループ > グループ ドメイン: 変更されたグループの所属ドメイン (ドメイン)
  • 変更された属性 > SAM アカウント名: 変更されたSAMのアカウント名 (-)
  • 変更された属性 > SID の履歴: 変更されたSIDの履歴 (-)
  • 追加情報 > 特権: 変更されたグループの特権 (-)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\lsass.exe)
14 セキュリティ 4634 ログオフ アカウントがログオフしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオン タイプ: ログオンの経路・方式など (3=ネットワーク)
15 Microsoft-Windows-Sysmon/Operational 3 Network connection detected (rule: NetworkConnect) Network connection detected.
  • ProcessGuid/ProcessId: プロセスID (4)
  • Image: 実行ファイルのパス (System)
  • User: 実行ユーザー (NT AUTHORITY\SYSTEM)
  • Protocol: プロトコル (tcp)
  • SourceIp: 送信元IPアドレス (ドメインコントローラーIPアドレス)
  • SourceHostname: 送信元ホスト名 (ドメインコントローラーホスト名)
  • SourcePort: 送信元ポート番号 (445)
  • DestinationIp: 宛先IPアドレス (接続元IPアドレス)
  • DestinationHostname: 宛先ホスト名 (接続元ホスト名)
  • DestinationPort: 宛先ポート番号 (ハイポート)
セキュリティ 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセスID: プロセスID
  • アプリケーション情報 > アプリケーション名: 実行プロセス (System)
  • ネットワーク情報 > 方向: 通信方向 (着信)
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (ドメインコントローラー)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (445)
  • ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続元ホスト)
  • ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート)
  • ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
16 セキュリティ 4672 特殊なログオン 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • 特権: 割り当てられた特権 (SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeEnableDelegationPrivilege)
17 セキュリティ 4624 ログオン アカウントが正常にログオンしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン (S-1-0-0/-/-)
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオンの種類: ログオンの経路・方式など (3=ネットワーク)
  • 新しいログオン > セキュリティID/アカウント名/アカウント ドメイン: ログオンされたユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: 実行ファイルのパス
  • ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名
  • ネットワーク情報 > ソース ネットワーク アドレス: ログオンを要求したIPアドレス
  • ネットワーク情報 > ソース ポート: 接続元ポート番号
  • 詳細な認証情報 > ログオン プロセス: ログオンに使用されたプロセス (Kerberos)
  • 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (Kerberos)
  • 詳細な認証情報 > キーの長さ: 認証に使用したキーの長さ (0)
18 セキュリティ 5140 ファイルの共有 ネットワーク共有オブジェクトにアクセスしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > 送信元/ソース ポート: 実行元ホスト/ポート番号
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 使用された共有名 (\*\IPC$)
  • 共有情報 > 共有パス: 共有のパス
  • アクセス要求情報 > アクセス: 要求された権限 (ReadData)
セキュリティ 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
  • ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 共有名 (\*\IPC$)
  • 共有情報 > 共有パス: 共有のパス
  • 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (samr)
  • アクセス要求情報 > アクセス: 要求された権限
19 セキュリティ 4661 SAM オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト サーバー: SecurityAccount Manager (Security Account Manager)
  • オブジェクト > オブジェクトの種類: 対象の区分 (SAM_DOMAIN)
  • オブジェクト > オブジェクト名: 対象のオブジェクト名 (DC=[DN])
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4661 SAM オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > オブジェクト サーバー: SecurityAccount Manager (Security Account Manager)
  • オブジェクト > オブジェクトの種類: 対象の区分 (SAM_DOMAIN)
  • オブジェクト > オブジェクト名: 対象のオブジェクト名 (CN=Builtin,DC=[DN])
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe)
  • アクセス要求情報 > アクセス: 要求された権限 (DELETE)
  • 成功の監査: 成否 (アクセス成功)
セキュリティ 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • オブジェクト > ハンドルID: 当該ハンドルの識別ID (イベントID: 4656で取得されたハンドル)
  • プロセス情報 > プロセスID: プロセスID (16進数)
  • プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\lsass.exe)
20 セキュリティ 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
  • サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
  • ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File)
  • ネットワーク情報 > 送信元アドレス/ソース ポート: 送信元IPアドレス/ポート番号
  • ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス)
  • ネットワーク情報 > ソース ポート: 送信元ポート番号 (ハイポート)
  • 共有情報 > 共有名: 共有名 (\*\IPC$)
  • 共有情報 > 共有パス: 共有のパス
  • 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (samr)
  • アクセス要求情報 > アクセス: 要求された権限
セキュリティ 4726 ユーザー アカウント管理 ユーザー アカウントが削除されました。
  • サブジェクト > セキュリティID: 実行したユーザーSID (管理者ユーザーのSID)
  • サブジェクト > アカウント名: 実行したアカウント名 (管理者ユーザー)
  • サブジェクト > アカウント ドメイン: 実行したアカウントの所属ドメイン (ドメイン)
  • サブジェクト > ログオン ID: プロセスを実行したユーザーのセッションID
  • ターゲット アカウント > セキュリティID: パスワードのリセットが試行されたユーザーSID (一般ユーザーのSID)
  • ターゲット アカウント > アカウント名: パスワードのリセットが試行されたアカウント名 (削除したユーザー名)
  • ターゲット アカウント > アカウント ドメイン: パスワードのリセットが試行されたアカウントの所属ドメイン (ドメイン)
21 セキュリティ 4634 ログオフ アカウントがログオフしました。
  • サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン ([管理者ユーザーのSID]/[管理者ユーザー]/[ドメイン])
  • サブジェクト > ログオンID: 認証を実行したユーザーのセッションID
  • ログオン タイプ: ログオンの経路・方式など (3=ネットワーク)

- パケットキャプチャ

# 処理 送信元ホスト 送信元ポート番号 宛先ホスト 宛先ポート番号 プロトコル/アプリケーション
"net user /add": 1 Negotiate Protocol Request [接続元] [ハイポート] [接続先] 445 SMB2
Negotiate Protocol Response [接続先] 445 [接続元] [ハイポート] SMB2
"net user /add": 2 Session Setup Request [接続元] [ハイポート] [接続先] 445 SMB2
Session Setup Response [接続先] 445 [接続元] [ハイポート] SMB2
"net user /add": 3 Tree Connect Request Tree: \\[ドメインコントローラー]\IPC$ [接続元] [ハイポート] [接続先] 445 SMB2
Tree Connect Response [接続先] 445 [接続元] [ハイポート] SMB2
"net user /add": 4 Ioctl Request FSCTL_VALIDATE_NEGOTIATE_INFO [接続元] [ハイポート] [接続先] 445 SMB2
Ioctl Response FSCTL_VALIDATE_NEGOTIATE_INFO [接続先] 445 [接続元] [ハイポート] SMB2
"net user /add": 5 Ioctl Request FSCTL_QUERY_NETWORK_INTERFACE_INFO [接続元] [ハイポート] [接続先] 445 SMB2
Ioctl Response FSCTL_QUERY_NETWORK_INTERFACE_INFO [接続先] 445 [接続元] [ハイポート] SMB2
"net user /add": 6 Create Request File: samr [接続元] [ハイポート] [接続先] 445 SMB2
Create Response File: samr [接続先] 445 [接続元] [ハイポート] SMB2
"net user /add": 7 GetInfo Request FILE_INFO/SMB2_FILE_STANDARD_INFO File: samr [接続元] [ハイポート] [接続先] 445 SMB2
GetInfo Response [接続先] 445 [接続元] [ハイポート] SMB2
"net user /add": 8 Bind: call_id: 2, Fragment: Single, 3 context items: SAMR V1.0 (32bit NDR), SAMR V1.0 (64bit NDR), SAMR V1.0 (6cb71c2c [接続元] [ハイポート] [接続先] 445 DCERPC
Write Response [接続先] 445 [接続元] [ハイポート] SMB2
"net user /add": 9 Read Request Len:1024 Off:0 File: samr [接続元] [ハイポート] [接続先] 445 SMB2
Bind_ack: call_id: 2, Fragment: Single, max_xmit: 4280 max_recv: 4280, 3 results: Provider rejection, Acceptance, Negotiate ACK [接続先] 445 [接続元] [ハイポート] DCERPC
"net user /add": 10 Connect5 request [接続元] [ハイポート] [接続先] 445 SAMR
Connect5 response [接続先] 445 [接続元] [ハイポート] SAMR
"net user /add": 11 EnumDomains request [接続元] [ハイポート] [接続先] 445 SAMR
EnumDomains response [接続先] 445 [接続元] [ハイポート] SAMR
"net user /add": 12 LookupDomain request, [接続元] [ハイポート] [接続先] 445 SAMR
LookupDomain response [接続先] 445 [接続元] [ハイポート] SAMR
"net user /add": 13 OpenDomain request [接続元] [ハイポート] [接続先] 445 SAMR
OpenDomain response [接続先] 445 [接続元] [ハイポート] SAMR
"net user /add": 14 CreateUser2 request, (パケット内において、追加するアカウント名が Account Name として記載される) [接続元] [ハイポート] [接続先] 445 SAMR
Ioctl Response, Error: STATUS_PENDING [接続先] 445 [接続元] [ハイポート] SMB2
CreateUser2 response [接続先] 445 [接続元] [ハイポート] SMB2
"net user /add": 15 QueryUserInfo request [接続元] [ハイポート] [接続先] 445 SAMR
QueryUserInfo response [接続先] 445 [接続元] [ハイポート] SAMR
"net user /add": 16 GetUserPwInfo request [接続元] [ハイポート] [接続先] 445 SAMR
GetUserPwInfo response [接続先] 445 [接続元] [ハイポート] SAMR
"net user /add": 17 SetUserInfo2 request[Malformed Packet] (パケット内において、追加したアカウントのパスワードが送信されるが可読性はない) [接続元] [ハイポート] [接続先] 445 SAMR
Ioctl Response, Error: STATUS_PENDING [接続先] 445 [接続元] [ハイポート] SMB2
SetUserInfo2 response [接続先] 445 [接続元] [ハイポート] SAMR
"net user /add": 18 Close request [接続元] [ハイポート] [接続先] 445 SAMR
Close response [接続先] 445 [接続元] [ハイポート] SAMR
"net user /add": 19 Close Request File: samr [接続元] [ハイポート] [接続先] 445 SMB2
Close Response [接続先] 445 [接続元] [ハイポート] SMB2
"net user /add": 20 Tree Disconnect Request [接続元] [ハイポート] [接続先] 445 SMB2
Tree Disconnect Response [接続先] 445 [接続元] [ハイポート] SMB2
"net user /add": 21 Session Logoff Request [接続元] [ハイポート] [接続先] 445 SMB2
Session Logoff Response [接続先] 445 [接続元] [ハイポート] SMB2
"net group /add": 1 Negotiate Protocol Request [接続元] [ハイポート] [接続先] 445 SMB2
Negotiate Protocol Response [接続先] 445 [接続元] [ハイポート] SMB2
"net group /add": 2 Session Setup Request [接続元] [ハイポート] [接続先] 445 SMB2
Session Setup Response [接続先] 445 [接続元] [ハイポート] SMB2
"net group /add": 3 Tree Connect Request Tree: \\[ドメインコントローラー]\IPC$ [接続元] [ハイポート] [接続先] 445 SMB2
Tree Connect Response [接続先] 445 [接続元] [ハイポート] SMB2
"net group /add": 4 Ioctl Request FSCTL_VALIDATE_NEGOTIATE_INFO [接続元] [ハイポート] [接続先] 445 SMB2
Ioctl Response FSCTL_VALIDATE_NEGOTIATE_INFO [接続先] 445 [接続元] [ハイポート] SMB2
"net group /add": 5 Ioctl Request FSCTL_QUERY_NETWORK_INTERFACE_INFO [接続元] [ハイポート] [接続先] 445 SMB2
Ioctl Response FSCTL_QUERY_NETWORK_INTERFACE_INFO [接続先] 445 [接続元] [ハイポート] SMB2
"net group /add": 6 Create Request File: samr [接続元] [ハイポート] [接続先] 445 SMB2
Create Response File: samr [接続先] 445 [接続元] [ハイポート] SMB2
"net group /add": 7 GetInfo Request FILE_INFO/SMB2_FILE_STANDARD_INFO File: samr [接続元] [ハイポート] [接続先] 445 SMB2
GetInfo Response [接続先] 445 [接続元] [ハイポート] SMB2
"net group /add": 8 Bind: call_id: 2, Fragment: Single, 3 context items: SAMR V1.0 (32bit NDR), SAMR V1.0 (64bit NDR), SAMR V1.0 (6cb71c2c [接続元] [ハイポート] [接続先] 445 DCERPC
Write Response [接続先] 445 [接続元] [ハイポート] SMB2
"net group /add": 9 Read Request Len:1024 Off:0 File: samr [接続元] [ハイポート] [接続先] 445 SMB2
Bind_ack: call_id: 2, Fragment: Single, max_xmit: 4280 max_recv: 4280, 3 results: Provider rejection, Acceptance, Negotiate ACK [接続先] 445 [接続元] [ハイポート] DCERPC
"net group /add": 10 Connect5 request [接続元] [ハイポート] [接続先] 445 SAMR
Connect5 response [接続先] 445 [接続元] [ハイポート] SAMR
"net group /add": 11 EnumDomains request [接続元] [ハイポート] [接続先] 445 SAMR
EnumDomains response [接続先] 445 [接続元] [ハイポート] SAMR
"net group /add": 12 LookupDomain request, [接続元] [ハイポート] [接続先] 445 SAMR
LookupDomain response [接続先] 445 [接続元] [ハイポート] SAMR
"net group /add": 13 OpenDomain request [接続元] [ハイポート] [接続先] 445 SAMR
OpenDomain response [接続先] 445 [接続元] [ハイポート] SAMR
"net group /add": 14 LookupNames request (※ このパケットに追加するグループ名が Names として記載される) [接続元] [ハイポート] [接続先] 445 SAMR
LookupNames response [接続先] 445 [接続元] [ハイポート] SAMR
"net group /add": 15 OpenGroup request [接続元] [ハイポート] [接続先] 445 SAMR
OpenGroup response [接続先] 445 [接続元] [ハイポート] SAMR
"net group /add": 16 LookupNames request (※ このパケットに追加するアカウント名が Names として記載される) [接続元] [ハイポート] [接続先] 445 SAMR
LookupNames response [接続先] 445 [接続元] [ハイポート] SAMR
"net group /add": 17 AddGroupMember request [接続元] [ハイポート] [接続先] 445 SAMR
Ioctl Response, Error: STATUS_PENDING [接続先] 445 [接続元] [ハイポート] SMB2
AddGroupMember response [接続先] 445 [接続元] [ハイポート] SAMR
"net group /add": 18 Close request [接続元] [ハイポート] [接続先] 445 SAMR
Close response [接続先] 445 [接続元] [ハイポート] SAMR
"net group /add": 19 Close Request File: samr [接続元] [ハイポート] [接続先] 445 SMB2
Close Response [接続先] 445 [接続元] [ハイポート] SMB2
"net group /add": 20 Tree Disconnect Request [接続元] [ハイポート] [接続先] 445 SMB2
Tree Disconnect Response [接続先] 445 [接続元] [ハイポート] SMB2
"net group /add": 21 Session Logoff Request [接続元] [ハイポート] [接続先] 445 SMB2
Session Logoff Response [接続先] 445 [接続元] [ハイポート] SMB2
"net user /delete": 1 Negotiate Protocol Request [接続元] [ハイポート] [接続先] 445 SMB2
Negotiate Protocol Response [接続先] 445 [接続元] [ハイポート] SMB2
Session Setup Request [接続元] [ハイポート] [接続先] 445 SMB2
Session Setup Response [接続先] 445 [接続元] [ハイポート] SMB2
Tree Connect Request Tree: \\[ドメインコントローラー]\IPC$ [接続元] [ハイポート] [接続先] 445 SMB2
Tree Connect Response [接続先] 445 [接続元] [ハイポート] SMB2
Ioctl Request FSCTL_VALIDATE_NEGOTIATE_INFO [接続元] [ハイポート] [接続先] 445 SMB2
Ioctl Response FSCTL_VALIDATE_NEGOTIATE_INFO [接続先] 445 [接続元] [ハイポート] SMB2
Ioctl Request FSCTL_QUERY_NETWORK_INTERFACE_INFO [接続元] [ハイポート] [接続先] 445 SMB2
Ioctl Response FSCTL_QUERY_NETWORK_INTERFACE_INFO [接続先] 445 [接続元] [ハイポート] SMB2
"net user /delete": 2 Create Request File: samr [接続元] [ハイポート] [接続先] 445 SMB2
Create Response File: samr [接続先] 445 [接続元] [ハイポート] SMB2
GetInfo Request FILE_INFO/SMB2_FILE_STANDARD_INFO File: samr [接続元] [ハイポート] [接続先] 445 SMB2
GetInfo Response [接続先] 445 [接続元] [ハイポート] SMB2
Bind: call_id: 2, Fragment: Single, 3 context items: SAMR V1.0 (32bit NDR), SAMR V1.0 (64bit NDR), SAMR V1.0 (6cb71c2c [接続元] [ハイポート] [接続先] 445 DCERPC
Write Response [接続先] 445 [接続元] [ハイポート] SMB2
Read Request Len:1024 Off:0 File: samr [接続元] [ハイポート] [接続先] 445 SMB2
Bind_ack: call_id: 2, Fragment: Single, max_xmit: 4280 max_recv: 4280, 3 results: Provider rejection, Acceptance, Negotiate ACK [接続先] 445 [接続元] [ハイポート] DCERPC
Connect5 request [接続元] [ハイポート] [接続先] 445 SAMR
Connect5 response [接続先] 445 [接続元] [ハイポート] SAMR
EnumDomains request [接続元] [ハイポート] [接続先] 445 SAMR
EnumDomains response [接続先] 445 [接続元] [ハイポート] SAMR
LookupDomain request, [接続元] [ハイポート] [接続先] 445 SAMR
LookupDomain response [接続先] 445 [接続元] [ハイポート] SAMR
OpenDomain request [接続元] [ハイポート] [接続先] 445 SAMR
OpenDomain response [接続先] 445 [接続元] [ハイポート] SAMR
OpenDomain request [接続元] [ハイポート] [接続先] 445 SAMR
OpenDomain response [接続先] 445 [接続元] [ハイポート] SAMR
LookupNames request (※ このパケットに削除するアカウント名が Names として記載される) [接続元] [ハイポート] [接続先] 445 SAMR
LookupNames response [接続先] 445 [接続元] [ハイポート] SAMR
OpenUser request [接続元] [ハイポート] [接続先] 445 SAMR
OpenUser response [接続先] 445 [接続元] [ハイポート] SAMR
QueryUserInfo request [接続元] [ハイポート] [接続先] 445 SAMR
QueryUserInfo response [接続先] 445 [接続元] [ハイポート] SAMR
QuerySecurity request [接続元] [ハイポート] [接続先] 445 SAMR
QuerySecurity response [接続先] 445 [接続元] [ハイポート] SAMR
GetGroupsForUser request [接続元] [ハイポート] [接続先] 445 SAMR
GetGroupsForUser response [接続先] 445 [接続元] [ハイポート] SAMR
GetAliasMembership request [接続元] [ハイポート] [接続先] 445 SAMR
GetAliasMembership response [接続先] 445 [接続元] [ハイポート] SAMR
Close request [接続元] [ハイポート] [接続先] 445 SAMR
Close response [接続先] 445 [接続元] [ハイポート] SAMR
Close request [接続元] [ハイポート] [接続先] 445 SAMR
Close response [接続先] 445 [接続元] [ハイポート] SAMR
Close request [接続元] [ハイポート] [接続先] 445 SAMR
Close response [接続先] 445 [接続元] [ハイポート] SAMR
Close request [接続元] [ハイポート] [接続先] 445 SAMR
Close response [接続先] 445 [接続元] [ハイポート] SAMR
Close Request File: samr [接続元] [ハイポート] [接続先] 445 SMB2
Close Response [接続先] 445 [接続元] [ハイポート] SMB2
"net user /delete": 3 Create Request File: samr [接続元] [ハイポート] [接続先] 445 SMB2
Create Response File: samr [接続先] 445 [接続元] [ハイポート] SMB2
GetInfo Request FILE_INFO/SMB2_FILE_STANDARD_INFO File: samr [接続元] [ハイポート] [接続先] 445 SMB2
GetInfo Response [接続先] 445 [接続元] [ハイポート] SMB2
Bind: call_id: 2, Fragment: Single, 3 context items: SAMR V1.0 (32bit NDR), SAMR V1.0 (64bit NDR), SAMR V1.0 (6cb71c2c [接続元] [ハイポート] [接続先] 445 DCERPC
Write Response [接続先] 445 [接続元] [ハイポート] SMB2
Read Request Len:1024 Off:0 File: samr [接続元] [ハイポート] [接続先] 445 SMB2
Bind_ack: call_id: 2, Fragment: Single, max_xmit: 4280 max_recv: 4280, 3 results: Provider rejection, Acceptance, Negotiate ACK [接続先] 445 [接続元] [ハイポート] DCERPC
Connect5 request [接続元] [ハイポート] [接続先] 445 SAMR
Connect5 response [接続先] 445 [接続元] [ハイポート] SAMR
EnumDomains request [接続元] [ハイポート] [接続先] 445 SAMR
EnumDomains response [接続先] 445 [接続元] [ハイポート] SAMR
LookupDomain request, [接続元] [ハイポート] [接続先] 445 SAMR
LookupDomain response [接続先] 445 [接続元] [ハイポート] SAMR
OpenDomain request [接続元] [ハイポート] [接続先] 445 SAMR
OpenDomain response [接続先] 445 [接続元] [ハイポート] SAMR
OpenDomain request [接続元] [ハイポート] [接続先] 445 SAMR
OpenDomain response [接続先] 445 [接続元] [ハイポート] SAMR
LookupNames request (※ このパケットに削除するアカウント名が Names として記載される) [接続元] [ハイポート] [接続先] 445 SAMR
LookupNames response [接続先] 445 [接続元] [ハイポート] SAMR
OpenUser request [接続元] [ハイポート] [接続先] 445 SAMR
OpenUser response [接続先] 445 [接続元] [ハイポート] SAMR
RemoveMemberFromForeignDomain request [接続元] [ハイポート] [接続先] 445 SAMR
RemoveMemberFromForeignDomain response [接続先] 445 [接続元] [ハイポート] SAMR
DeleteUser request [接続元] [ハイポート] [接続先] 445 SAMR
Ioctl Response, Error: STATUS_PENDING [接続先] 445 [接続元] [ハイポート] SMB2
DeleteUser response [接続先] 445 [接続元] [ハイポート] SAMR
Close request [接続元] [ハイポート] [接続先] 445 SAMR
Close response [接続先] 445 [接続元] [ハイポート] SAMR
Close request [接続元] [ハイポート] [接続先] 445 SAMR
Close response [接続先] 445 [接続元] [ハイポート] SAMR
Close request [接続元] [ハイポート] [接続先] 445 SAMR
Close response [接続先] 445 [接続元] [ハイポート] SAMR
Close Request File: samr [接続元] [ハイポート] [接続先] 445 SMB2
Close Response [接続先] 445 [接続元] [ハイポート] SMB2
"net user /delete": 4 Tree Disconnect Request [接続元] [ハイポート] [接続先] 445 SMB2
Tree Disconnect Response [接続先] 445 [接続元] [ハイポート] SMB2
Session Logoff Request [接続元] [ハイポート] [接続先] 445 SMB2
Session Logoff Response [接続先] 445 [接続元] [ハイポート] SMB2

- 備考