| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
- プロセス情報 > 作成元プロセス名: [実行ファイルのパス]
- プロセス情報 > プロセスのコマンド ライン: [実行ファイル名] [コマンドライン]
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- Image: [実行ファイルのパス]
- FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
- CommandLine: [実行ファイルのパス] [コマンドライン]
- User: [ドメイン名]\[ユーザー名]
- Hashes: [実行ファイルのハッシュ値]
|
| Security |
4673 |
Sensitive Privilege Use |
特権のあるサービスが呼び出されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- サービス > サーバー: Security
- サービス要求情報 > 特権: SeProfileSingleProcessPrivilege
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > ハンドル ID: [ハンドルID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\VirtualStore
- アクセス要求情報 > アクセス: WRITE_DAC, WRITE_OWNER, SYNCHRONIZE
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\VirtualStore
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WRITE_DAC, WRITE_OWNER
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > ハンドル ID: [ハンドルID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: [対象のファイル]
- アクセス要求情報 > アクセス: SYNCHRONIZE, ReadAttributes, WriteAttributes
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: [対象のファイル]
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteAttributes
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
2 |
File creation time changed |
File creation time changed
- UtcTime: [発生日時(UTC)]
- TargetFilename: [対象のファイル]
- CreationUtcTime: [変更後のタイムスタンプ(UTC)]
- PreviousCreationUtcTime: [変更前のタイムスタンプ(UTC)]
|
| Security |
4689 |
Process Termination |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 終了状態: 0x0
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: [実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- User: [ドメイン名]\[ユーザー名]
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteData (または AddFile)、AppendData (または AddSubdirectory または CreatePipeInstance)
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- Image: C:\WINDOWS\system32\svchost.exe
- TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf
- CreationUtcTime: [発生日時(UTC)]
|