net user

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
アカウント情報の取得
説明
ホストまたはドメイン上の、アカウント情報を取得したり新規に作成したりする。
攻撃時における想定利用例
アカウント情報を収集したり、アカウントを作成して利用したりする。

- ツール動作概要

- 概要

項目 接続元 接続先
通信プロトコル
  • 135/tcp
  • 445/tcp
  • ハイポート/tcp
  • 135/tcp
  • 445/tcp
  • ハイポート/tcp
権限 User/Admin User/Admin
ドメインへの所属 不要 不要
サービス - -
OS Windows Windows
備考 ローカルで利用することも、ドメイン環境で利用することもできる。 ローカルで利用することも、ドメイン環境で利用することもできる。

- 動作確認環境

環境 動作可否
Windows 7 + Windows Server 2012 動作する
Windows 10 + Windows Server 2012 動作する
Windows 11 + Windows Server 2025 動作する

- ログから得られる情報

標準設定
  • 接続元
    • Prefetch: 実行履歴
追加設定
  • 接続元
    • 監査ポリシー・Sysmon: 実行履歴
  • 接続先
    • 監査ポリシー・Sysmon: 実行履歴
    • 監査ポリシー: アカウントの作成・削除履歴

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net.exe
  • CommandLine: net user [ユーザー名] [パスワード] /add /domain
  • User: [ドメイン名]\[ユーザー名]

ドメイン上にユーザーアカウントを作成するもの。
2 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • 作成元サブジェクト > アカウント名: [実行ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\net.exe
  • プロセス情報 > プロセスのコマンド ライン: net user [ユーザー名] [パスワード] /add /domain
3 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net1.exe
  • CommandLine: C:\WINDOWS\system32\net1 user [ユーザー名] [パスワード] /add /domain
  • User: [ドメイン名]\[ユーザー名]
  • ParentProcessId: [net.exeのプロセスID]
  • ParentImage: C:\Windows\System32\net.exe
  • ParentCommandLine: net user [ユーザー名] [パスワード] /add /domain
  • ParentUser: [親プロセスの実行ユーザ]
4 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • 作成元サブジェクト > アカウント名: [実行ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\net1.exe
  • プロセス情報 > プロセスのコマンド ライン: C:\WINDOWS\system32\net1 user [ユーザー名] [パスワード] /add /domain
  • プロセス情報 > 作成元プロセス ID: [net.exeのプロセスID]
  • プロセス情報 > 作成元プロセス名: C:\Windows\System32\net.exe
5 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: 4
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 445
6 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: 4
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 445
  • ネットワーク情報 > プロトコル: 6 (TCP)
7 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net1.exe
  • User: [ドメイン名]\[ユーザー名]
8 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • サブジェクト > アカウント名: [実行ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\net1.exe
9 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net.exe
  • CommandLine: net user [ユーザー名] /delete /domain
  • User: [ドメイン名]\[ユーザー名]

ここからはドメイン上からユーザーを削除するもの。
10 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • 作成元サブジェクト > アカウント名: [実行ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\net.exe
  • プロセス情報 > プロセスのコマンド ライン: net user [ユーザー名] /delete /domain

ドメイン上からユーザーを削除するもの。
11 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net1.exe
  • CommandLine: C:\WINDOWS\system32\net1 user [ユーザー名] /delete /domain
  • User: [ドメイン名]\[ユーザー名]
  • ParentProcessId: [net.exeのプロセスID]
  • ParentImage: C:\Windows\System32\net.exe
  • ParentCommandLine: net user [ユーザー名] /delete /domain
  • ParentUser: [親プロセスの実行ユーザ]
12 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • 作成元サブジェクト > アカウント名: [実行ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\net1.exe
  • プロセス情報 > プロセスのコマンド ライン: C:\WINDOWS\system32\net1 user [ユーザー名] /delete /domain
  • プロセス情報 > 作成元プロセス ID: [プロセスID]
  • プロセス情報 > 作成元プロセス名: C:\Windows\System32\net.exe
13 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: 4
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 445
14 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: 4
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 445
  • ネットワーク情報 > プロトコル: 6 (TCP)
15 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net1.exe
  • User: [ドメイン名]\[ユーザー名]
16 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • サブジェクト > アカウント名: [実行ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\net1.exe

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 NET.EXE-[ハッシュ値].pf NET.EXE \VOLUME{[ボリュームGUID]}\WINDOWS\SYSTEM32\NET.EXE
2 NET1.EXE-[ハッシュ値].pf NET1.EXE \VOLUME{[ボリュームGUID]}\WINDOWS\SYSTEM32\NET1.EXE

MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\Windows\Prefetch\NET.EXE-[ハッシュ値].pf FILE ALLOCATED
2 [ドライブ名]:\Windows\Prefetch\NET1.EXE-[ハッシュ値].pf FILE ALLOCATED

USNジャーナル

# ファイル名 処理 備考
1 NET.EXE-[ハッシュ値].pf
  • DataExtend|FileCreate
2 NET1.EXE-[ハッシュ値].pf
  • DataExtend|FileCreate

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: 4
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • Initiated: False
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 445

ドメイン上にユーザーアカウントを作成するもの。
2 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: 4
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 445
  • ネットワーク情報 > プロトコル: 6 (TCP)
3 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: S-1-0-0
  • サブジェクト > アカウント名: -
  • サブジェクト > アカウント ドメイン: -
  • サブジェクト > ログオン ID: 0x0
  • 新しいログオン > セキュリティ ID: [ログオンユーザーSID]
  • 新しいログオン > アカウント名: [ログオンユーザー名]
  • 新しいログオン > アカウント名: [ドメイン名]
  • ログオン情報 > ログオン タイプ: 3
  • 詳細な認証情報 > ログオン プロセス: Kerberos
  • 詳細な認証情報 > 認証パッケージ: Kerberos
  • プロセス情報 > プロセス名: -
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
4 Security 4720 User Account Management ユーザー アカウントが作成されました。
  • 新しいアカウント > アカウント名: [新規作成アカウントのユーザー名]
  • 新しいアカウント > アカウント ドメイン: [ドメイン名]
  • 新しいアカウント > セキュリティ ID: [新規作成アカウントのユーザーSID]
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • 属性 > SAM アカウント名: [新規作成アカウントのユーザー名]
  • 属性 > 表示名: [新規作成アカウントの表示名]
  • 属性 > ユーザー プリンシパル名: [新規作成アカウントのユーザー名]@[ドメイン名FQDN]
  • 属性 > SID の履歴: [SIDHistory]
5 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: 4
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • Initiated: False
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 445

ここからはドメイン上からユーザーアカウントを削除するもの。
6 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: 4
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 445
  • ネットワーク情報 > プロトコル: 6 (TCP)
7 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: S-1-0-0
  • サブジェクト > アカウント名: -
  • サブジェクト > アカウント ドメイン: -
  • サブジェクト > ログオン ID: 0x0
  • 新しいログオン > セキュリティ ID: [ログオンユーザーSID]
  • 新しいログオン > アカウント名: [ログオンユーザー名]
  • 新しいログオン > アカウント名: [ドメイン名]
  • ログオン情報 > ログオン タイプ: 3
  • 詳細な認証情報 > ログオン プロセス: Kerberos
  • 詳細な認証情報 > 認証パッケージ: Kerberos
  • プロセス情報 > プロセス名: -
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
8 Security 4661 SAM オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • オブジェクト > オブジェクト サーバー: Security Account Manager
  • オブジェクト > オブジェクトの種類: SAM_DOMAIN
  • オブジェクト > オブジェクト名: [ドメイン]
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER, ReadPasswordParameters, ReadOtherParameters, WriteOtherParameters, CreateUser, CreateGlobalGroup, GetLocalGroupMembership, ListAccounts
  • プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe
9 Security 4726 User Account Management ユーザー アカウントが削除されました。
  • ターゲット アカウント > アカウント名: [削除アカウントのユーザー名]
  • ターゲット アカウント > アカウント ドメイン: [ドメイン名]
  • ターゲット アカウント > セキュリティ ID: [削除アカウントのユーザーSID]
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]

- 詳細情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • 作成元サブジェクト > アカウント名: [実行ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\net.exe
  • プロセス情報 > プロセスのコマンド ライン: net user [ユーザー名] [パスワード] /add /domain

ドメイン上にユーザーアカウントを作成するもの。
2 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net.exe
  • CommandLine: net user [ユーザー名] [パスワード] /add /domain
  • User: [ドメイン名]\[ユーザー名]
3 Microsoft-Windows-Sysmon/Operational 7 Image loaded Image loaded.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net.exe
  • ImageLoaded: [読み取ったDLLファイルなど]
  • FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルなどのメタデータ]
  • User: [ドメイン名]\[ユーザー名]
4 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • 作成元サブジェクト > アカウント名: [実行ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\net1.exe
  • プロセス情報 > プロセスのコマンド ライン: C:\WINDOWS\system32\net1 user [ユーザー名] [パスワード] /add /domain
  • ParentProcessId: [プロセスID]
  • プロセス情報 > 作成元プロセス名: C:\Windows\System32\net.exe
5 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net1.exe
  • CommandLine: C:\WINDOWS\system32\net1 user [ユーザー名] [パスワード] /add /domain
  • User: [ドメイン名]\[ユーザー名]
  • ParentProcessId: [net.exeのプロセスID]
  • ParentImage: C:\Windows\System32\net.exe
  • ParentCommandLine: net user [ユーザー名] [パスワード] /add /domain
  • ParentUser: [親プロセスの実行ユーザ]
6 Microsoft-Windows-Sysmon/Operational 7 Image loaded Image loaded.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net1.exe
  • ImageLoaded: [読み取ったDLLファイルなど]
  • FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルなどのメタデータ]
  • User: [ドメイン名]\[ユーザー名]
7 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: 4
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 445
  • ネットワーク情報 > プロトコル: 6 (TCP)
8 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: 4
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 445
9 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > アプリケーション名: C:\Windows\System32\lsass.exe
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 88
  • ネットワーク情報 > プロトコル: 6 (TCP)
10 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • Image: C:\Windows\System32\lsass.exe
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 88
11 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • サブジェクト > アカウント名: [実行ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\net1.exe
12 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net1.exe
  • User: [ドメイン名]\[ユーザー名]
13 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\NET1.EXE-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData, (または, ListDirectory), WriteData, (または, AddFile), AppendData, (または, AddSubdirectory, または, CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
14 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\NET1.EXE-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
15 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
16 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • Image: C:\WINDOWS\system32\svchost.exe
  • TargetFilename: C:\Windows\Prefetch\NET1.EXE-[ハッシュ値].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]
17 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • サブジェクト > アカウント名: [実行ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\net.exe
18 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net.exe
  • User: [ドメイン名]\[ユーザー名]
19 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\NET.EXE-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData, (または, ListDirectory), WriteData, (または, AddFile), AppendData, (または, AddSubdirectory, または, CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
20 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\NET.EXE-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
21 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
22 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • Image: C:\WINDOWS\system32\svchost.exe
  • TargetFilename: C:\Windows\Prefetch\NET.EXE-[ハッシュ値].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]
23 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • 作成元サブジェクト > アカウント名: [実行ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\net.exe
  • プロセス情報 > プロセスのコマンド ライン: net user [ユーザー名] /delete /domain

ドメイン上からユーザーを削除するもの。
24 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net.exe
  • CommandLine: net user [ユーザー名] /delete /domain
  • User: [ドメイン名]\[ユーザー名]
25 Microsoft-Windows-Sysmon/Operational 7 Image loaded Image loaded.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net.exe
  • ImageLoaded: [読み取ったDLLファイルなど]
  • FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルなどのメタデータ]
  • User: [ドメイン名]\[ユーザー名]
26 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • 作成元サブジェクト > アカウント名: [実行ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\net1.exe
  • プロセス情報 > プロセスのコマンド ライン: C:\WINDOWS\system32\net1 user [ユーザー名] /delete /domain
  • プロセス情報 > 作成元プロセス ID: [プロセスID]
  • プロセス情報 > 作成元プロセス名: C:\Windows\System32\net.exe
27 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net1.exe
  • CommandLine: C:\WINDOWS\system32\net1 user [ユーザー名] /delete /domain
  • User: [ドメイン名]\[ユーザー名]
  • ParentProcessId: [net.exeのプロセスID]
  • ParentImage: C:\Windows\System32\net.exe
  • ParentCommandLine: net user [ユーザー名] /delete /domain
  • ParentUser: [親プロセスの実行ユーザ]
28 Microsoft-Windows-Sysmon/Operational 7 Image loaded Image loaded.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net1.exe
  • ImageLoaded: [読み取ったDLLファイルなど]
  • FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルなどのメタデータ]
  • User: [ドメイン名]\[ユーザー名]
29 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: 4
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 445
  • ネットワーク情報 > プロトコル: 6 (TCP)
30 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: 4
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 445
31 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • サブジェクト > アカウント名: [実行ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\net1.exe
32 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net1.exe
  • User: [ドメイン名]\[ユーザー名]
33 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\NET1.EXE-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData, (または, ListDirectory), WriteData, (または, AddFile), AppendData, (または, AddSubdirectory, または, CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
34 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\NET1.EXE-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
35 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
36 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • Image: C:\WINDOWS\system32\svchost.exe
  • TargetFilename: C:\Windows\Prefetch\NET1.EXE-[ハッシュ値].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]
37 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\net.exe
  • User: [ドメイン名]\[ユーザー名]
38 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • サブジェクト > アカウント名: [実行ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\net.exe
39 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\NET.EXE-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData, (または, ListDirectory), WriteData, (または, AddFile), AppendData, (または, AddSubdirectory, または, CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
40 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\NET.EXE-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
41 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
42 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • Image: C:\WINDOWS\system32\svchost.exe
  • TargetFilename: C:\Windows\Prefetch\NET.EXE-[ハッシュ値].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 NET.EXE-[ハッシュ値].pf NET.EXE \VOLUME{[ボリュームGUID]}\WINDOWS\SYSTEM32\NET.EXE
2 NET1.EXE-[ハッシュ値].pf NET1.EXE \VOLUME{[ボリュームGUID]}\WINDOWS\SYSTEM32\NET1.EXE

MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\Windows\Prefetch\NET.EXE-[ハッシュ値].pf FILE ALLOCATED
2 [ドライブ名]:\Windows\Prefetch\NET1.EXE-[ハッシュ値].pf FILE ALLOCATED

USNジャーナル

# ファイル名 処理 備考
1 NET.EXE-[ハッシュ値].pf
  • DataExtend|FileCreate
2 NET1.EXE-[ハッシュ値].pf
  • DataExtend|FileCreate

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: 4
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 445
  • ネットワーク情報 > プロトコル: 6 (TCP)

ドメイン上にユーザーアカウントを作成するもの。
2 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: 4
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • Initiated: False
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 445
3 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\lsass.exe
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 88
  • ネットワーク情報 > プロトコル: 6 (TCP)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • Image: C:\Windows\System32\lsass.exe
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: False
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 88
5 Security 4769 Kerberos Service Ticket Operations Kerberos サービス チケットが要求されました。
  • アカウント情報 > アカウント名: [ログオンユーザー名@ドメイン名]
  • アカウント情報 > アカウント ドメイン: [ドメイン名]
  • サービス情報 > サービス名: krbtgt
  • サービス情報 > サービス ID: [ログオンユーザーSID]
  • ネットワーク情報 > クライアント アドレス: [接続元IPアドレス]
  • ネットワーク情報 > クライアント ポート: [接続元ポート番号]
  • 追加情報 > エラー コード: 0x0
6 Security 4672 Special Logon 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege, SeEnableDelegationPrivilege
7 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: S-1-0-0
  • サブジェクト > アカウント名: -
  • サブジェクト > アカウント ドメイン: -
  • サブジェクト > ログオン ID: 0x0
  • 新しいログオン > セキュリティ ID: [ログオンユーザーSID]
  • 新しいログオン > アカウント名: [ログオンユーザー名]
  • 新しいログオン > アカウント名: [ドメイン名]
  • ログオン情報 > ログオン タイプ: 3
  • 詳細な認証情報 > ログオン プロセス: Kerberos
  • 詳細な認証情報 > 認証パッケージ: Kerberos
  • プロセス情報 > プロセス名: -
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
8 Security 5140 File Share ネットワーク共有オブジェクトにアクセスしました。
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [送信元ポート番号]
  • 共有情報 > 共有名: \\*\IPC$
  • アクセス要求情報 > アクセス: ReadData (または ListDirectory)
9 Security 5145 Detailed File Share クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [送信元ポート番号]
  • 共有情報 > 共有名: \\*\IPC$
  • 共有情報 > 相対ターゲット名: samr
  • アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData, (または, ListDirectory), WriteData, (または, AddFile), AppendData, (または, AddSubdirectory, または, CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
10 Security 4661 SAM オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • オブジェクト > オブジェクト サーバー: Security Account Manager
  • オブジェクト > オブジェクトの種類: SAM_DOMAIN
  • オブジェクト > オブジェクト名: [ドメイン]
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER, ReadPasswordParameters, ReadOtherParameters, WriteOtherParameters, CreateUser, CreateGlobalGroup, GetLocalGroupMembership, ListAccounts
  • プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe
11 Security 4661 SAM オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • オブジェクト > オブジェクト サーバー: Security Account Manager
  • オブジェクト > オブジェクトの種類: SAM_DOMAIN
  • オブジェクト > オブジェクト名: [ドメイン]
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: {bf967a90-0de6-11d0-a285-00aa003049e2}, ListAccounts, {280f369c-67c7-438e-ae98-1d46f3c6f541}
  • プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe
12 Security 4720 User Account Management ユーザー アカウントが作成されました。
  • 新しいアカウント > アカウント名: [新規作成アカウントのユーザー名]
  • 新しいアカウント > アカウント ドメイン: [ドメイン名]
  • 新しいアカウント > セキュリティ ID: [新規作成アカウントのユーザーSID]
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • 属性 > SAM アカウント名: [新規作成アカウントのユーザー名]
  • 属性 > 表示名: [新規作成アカウントの表示名]
  • 属性 > ユーザー プリンシパル名: [新規作成アカウントのユーザー名]@[ドメイン名FQDN]
  • 属性 > SID の履歴: [SIDHistory]
13 Security 4722 User Account Management ユーザー アカウントが有効化されました。
  • ターゲット アカウント > アカウント名: [新規作成アカウントのユーザー名]
  • ターゲット アカウント > アカウント ドメイン: [ドメイン名]
  • ターゲット アカウント > セキュリティ ID: [新規作成アカウントのユーザーSID]
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
14 Security 4724 User Account Management アカウントのパスワードのリセットが試行されました。
  • ターゲット アカウント > アカウント名: [新規作成アカウントのユーザー名]
  • ターゲット アカウント > アカウント ドメイン: [ドメイン名]
  • ターゲット アカウント > セキュリティ ID: [新規作成アカウントのユーザーSID]
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
15 Security 4738 User Account Management アカウントのパスワードのリセットが試行されました。
  • ターゲット アカウント > アカウント名: [新規作成アカウントのユーザー名]
  • ターゲット アカウント > アカウント ドメイン: [ドメイン名]
  • ターゲット アカウント > セキュリティ ID: [新規作成アカウントのユーザーSID]
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • 属性 > 旧 UAC の値: 0x15
  • 属性 > 新 UAC の値: 0x10
  • 属性 > ユーザー アカウント制御: アカウントは有効です, 'Password Not Required' - 無効
16 Security 4672 Special Logon 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティ ID: S-1-5-18
  • サブジェクト > アカウント名: [コンピューターアカウント]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege, SeEnableDelegationPrivilege
17 Security 4634 Logoff アカウントがログオフしました。
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > ログオン ID: [イベント4624で記録されたログオンID]
  • ログオン タイプ: 3
18 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: 4
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 445
  • ネットワーク情報 > プロトコル: 6 (TCP)

ここからはドメイン上からユーザーアカウントを削除するもの。
19 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: 4
  • Image: System
  • User: NT AUTHORITY\SYSTEM
  • Protocol: tcp
  • Initiated: False
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 445
20 Security 4672 Special Logon 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege, SeEnableDelegationPrivilege
21 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: S-1-0-0
  • サブジェクト > アカウント名: -
  • サブジェクト > アカウント ドメイン: -
  • サブジェクト > ログオン ID: 0x0
  • 新しいログオン > セキュリティ ID: [ログオンユーザーSID]
  • 新しいログオン > アカウント名: [ログオンユーザー名]
  • 新しいログオン > アカウント名: [ドメイン名]
  • ログオン情報 > ログオン タイプ: 3
  • 詳細な認証情報 > ログオン プロセス: Kerberos
  • 詳細な認証情報 > 認証パッケージ: Kerberos
  • プロセス情報 > プロセス名: -
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
22 Security 5140 File Share ネットワーク共有オブジェクトにアクセスしました。
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [送信元ポート番号]
  • 共有情報 > 共有名: \\*\IPC$
  • アクセス要求情報 > アクセス: ReadData (または ListDirectory)
23 Security 5145 Detailed File Share クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [送信元ポート番号]
  • 共有情報 > 共有名: \\*\IPC$
  • 共有情報 > 相対ターゲット名: samr
  • アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData, (または, ListDirectory), WriteData, (または, AddFile), AppendData, (または, AddSubdirectory, または, CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
24 Security 4661 SAM オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • オブジェクト > オブジェクト サーバー: Security Account Manager
  • オブジェクト > オブジェクトの種類: SAM_DOMAIN
  • オブジェクト > オブジェクト名: [ドメイン]
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER, ReadPasswordParameters, ReadOtherParameters, WriteOtherParameters, CreateUser, CreateGlobalGroup, GetLocalGroupMembership, ListAccounts
  • プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe
25 Security 4726 User Account Management ユーザー アカウントが削除されました。
  • ターゲット アカウント > アカウント名: [削除アカウントのユーザー名]
  • ターゲット アカウント > アカウント ドメイン: [ドメイン名]
  • ターゲット アカウント > セキュリティ ID: [削除アカウントのユーザーSID]
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
26 Security 4634 Logoff アカウントがログオフしました。
  • サブジェクト > セキュリティ ID: [ログオンユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > ログオン ID: [イベント4624で記録されたログオンID]
  • ログオン タイプ: 3

- パケット

# オペレーション 接続元ホスト 接続元ポート番号 接続先ホスト 接続先ポート プロトコル アプリケーション 備考
1 Negotiate Protocol Request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
2 Negotiate Protocol Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
3 Negotiate Protocol Request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
4 Negotiate Protocol Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
5 TGS-REQ [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 88 tcp KRB5
6 TGS-REP [接続先IPアドレス] 88 [接続元IPアドレス] [接続元ポート番号] tcp KRB5
7 TGS-REQ [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 88 tcp KRB5
8 TGS-REP [接続先IPアドレス] 88 [接続元IPアドレス] [接続元ポート番号] tcp KRB5
9 Session Setup Request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
10 Session Setup Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
11 Tree Connect Request Tree: \\[ドメインコントローラー]\IPC$ [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
12 Tree Connect Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
13 Ioctl Request FSCTL_QUERY_NETWORK_INTERFACE_INFO [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
14 Create Request File: samr [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
15 Ioctl Response FSCTL_QUERY_NETWORK_INTERFACE_INFO [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
16 Create Response File: samr [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
17 GetInfo Request FILE_INFO/SMB2_FILE_STANDARD_INFO File: samr [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
18 GetInfo Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
19 Bind: call_id: 2, Fragment: Single, 3 context items: SAMR V1.0 (32bit NDR), SAMR V1.0 (64bit NDR), SAMR V1.0 (6cb71c2c-9812-4540-0300-000000000000) [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp DCERPC
20 Write Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
21 Read Request Len:1024 Off:0 File: samr [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
22 Bind_ack: call_id: 2, Fragment: Single, max_xmit: 4280 max_recv: 4280, 3 results: Provider rejection, Acceptance, Negotiate ACK [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp DCERPC
23 Connect5 request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
24 Connect5 response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
25 EnumDomains request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
26 EnumDomains response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
27 LookupDomain request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
28 LookupDomain response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
29 OpenDomain request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
30 OpenDomain response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
31 CreateUser2 request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
32 Ioctl Response, Error: STATUS_PENDING [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
33 CreateUser2 response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
34 QueryUserInfo request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
35 QueryUserInfo response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
36 GetUserPwInfo request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
37 GetUserPwInfo response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
38 SetUserInfo2 request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
39 Ioctl Response, Error: STATUS_PENDING [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
40 SetUserInfo2 response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
41 Close request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
42 Close response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
43 Close request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
44 Close response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
45 Close request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
46 Close response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
47 Close Request File: samr [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
48 Close Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
49 Tree Disconnect Request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
50 Tree Disconnect Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
51 Session Logoff Request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
52 Session Logoff Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
53 Negotiate Protocol Request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB
54 Negotiate Protocol Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
55 Negotiate Protocol Request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
56 Negotiate Protocol Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
57 Session Setup Request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
58 Session Setup Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
59 Tree Connect Request Tree: \\[ドメインコントローラー]\IPC$ [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
60 Tree Connect Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
61 Ioctl Request FSCTL_QUERY_NETWORK_INTERFACE_INFO [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
62 Create Request File: samr [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
63 Ioctl Response FSCTL_QUERY_NETWORK_INTERFACE_INFO [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
64 Create Response File: samr [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
65 GetInfo Request FILE_INFO/SMB2_FILE_STANDARD_INFO File: samr [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
66 GetInfo Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
67 Bind: call_id: 2, Fragment: Single, 3 context items: SAMR V1.0 (32bit NDR), SAMR V1.0 (64bit NDR), SAMR V1.0 (6cb71c2c-9812-4540-0300-000000000000) [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp DCERPC
68 Write Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
69 Read Request Len:1024 Off:0 File: samr [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
70 Bind_ack: call_id: 2, Fragment: Single, max_xmit: 4280 max_recv: 4280, 3 results: Provider rejection, Acceptance, Negotiate ACK [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp DCERPC
71 Connect5 request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
72 Connect5 response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
73 EnumDomains request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
74 EnumDomains response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
75 LookupDomain request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
76 LookupDomain response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
77 OpenDomain request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
78 OpenDomain response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
79 OpenDomain request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
80 OpenDomain response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
81 LookupNames request[Long frame (74 bytes)] [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
82 LookupNames response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
83 OpenUser request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
84 OpenUser response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
85 QueryUserInfo request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
86 QueryUserInfo response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
87 QuerySecurity request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
88 QuerySecurity response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
89 GetGroupsForUser request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
90 GetGroupsForUser response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
91 GetAliasMembership request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
92 GetAliasMembership response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
93 Close request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
94 Close response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
95 Close request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
96 Close response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
97 Close request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
98 Close response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
99 Close request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
100 Close response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
101 Close Request File: samr [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
102 Close Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
103 Create Request File: samr [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
104 Create Response File: samr [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
105 GetInfo Request FILE_INFO/SMB2_FILE_STANDARD_INFO File: samr [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
106 GetInfo Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
107 Bind: call_id: 2, Fragment: Single, 3 context items: SAMR V1.0 (32bit NDR), SAMR V1.0 (64bit NDR), SAMR V1.0 (6cb71c2c-9812-4540-0300-000000000000) [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp DCERPC
108 Write Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
109 Read Request Len:1024 Off:0 File: samr [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
110 Bind_ack: call_id: 2, Fragment: Single, max_xmit: 4280 max_recv: 4280, 3 results: Provider rejection, Acceptance, Negotiate ACK [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp DCERPC
111 Connect5 request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
112 Connect5 response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
113 EnumDomains request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
114 EnumDomains response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
115 LookupDomain request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
116 LookupDomain response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
117 OpenDomain request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
118 OpenDomain response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
119 OpenDomain request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
120 OpenDomain response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
121 LookupNames request[Long frame (74 bytes)] [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
122 LookupNames response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
123 OpenUser request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
124 OpenUser response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
125 RemoveMemberFromForeignDomain request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
126 RemoveMemberFromForeignDomain response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
127 DeleteUser request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
128 Ioctl Response, Error: STATUS_PENDING [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
129 DeleteUser response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
130 Close request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
131 Close response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
132 Close request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
133 Close response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
134 Close request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SAMR
135 Close response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SAMR
136 Close Request File: samr [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
137 Close Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
138 Tree Disconnect Request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
139 Tree Disconnect Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2
140 Session Logoff Request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
141 Session Logoff Response [接続先IPアドレス] 445 [接続元IPアドレス] [接続元ポート番号] tcp SMB2

- 備考