| 1 |
Microsoft-Windows-Sysmon/Operational |
1 |
Process Create (rule: ProcessCreate) |
Process Create.
- UtcTime: プロセス実行日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (検体の実行ファイル名)
- CommandLine: 実行コマンドのコマンドライン (オプション内に変更されたタイムスタンプの項目と、変更後の日時が含まれる)
- User: 実行ユーザー
- LogonGuid/LogonId: ログオンセッションのID
- Hashes: 実行ファイルのハッシュ値
- ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID
- ParentImage: 親プロセスの実行ファイル
- ParentCommandLine: 親プロセスのコマンドライン
|
| セキュリティ |
4688 |
プロセス作成 |
新しいプロセスが作成されました。
- ログの日時: プロセス実行日時 (ローカル時刻)
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- プロセス情報 > 新しいプロセスID: プロセスID (16進数)
- プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体の実行ファイル名)
- プロセス情報 > 必須ラベル: 権限昇格の要否 (Mandatory Label\High Mandatory Level)
- プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1)
- プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイター プロセスID」
- プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパス。Windows 10のみで記録を確認
|
| 2 |
セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
|
| セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (先にイベントID: 4656で要求されたハンドルID)
- プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
|
| セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- プロセス情報 > プロセスID: プロセスID (16進数)
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名
|
| 3 |
Microsoft-Windows-Sysmon/Operational |
2 |
File creation time changed (rule: FileCreateTime) |
File creation time changed.
- UtcTime: 変更が発生した日時 (UTC)
- TargetFilename: 変更されたファイルの名前
- CreationUtcTime: 変更後のタイムスタンプ (UTC)
- PreviousCreationUtcTime: 変更前のタイムスタンプ (UTC)
|
| Microsoft-Windows-Sysmon/Operational |
9 |
RawAccessRead detected (rule: RawAccessRead) |
RawAccessRead detected.
- Image: 実行ファイルのパス (検体の実行ファイル名)
- Device: 対象ファイルが存在するデバイス名
|
| セキュリティ |
4656 |
ファイル システム / その他のオブジェクト アクセス イベント |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID
- オブジェクト > オブジェクト名: 対象のファイル名 (タイムスタンプが変更されたファイル)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (SYNCHRONIZE, ReadAttributes, WriteAttributes)
|
| セキュリティ |
4663 |
ファイル システム |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティID/アカウント名/アカウント ドメイン: 実行したユーザーSID/アカウント名/ドメイン
- オブジェクト > オブジェクト名: 対象のファイル名 (タイムスタンプが変更されたファイル)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (先にイベントID: 4656で要求されたハンドルID)
- アクセス要求情報 > アクセス/アクセス理由/アクセス マスク: 要求された権限 (WriteAttributes)
- 成功の監査: 成否 (アクセス成功) (成功であれば、タイムスタンプの変更が成功)
|
| セキュリティ |
4658 |
ファイル システム |
オブジェクトに対するハンドルが閉じました。
- プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体の実行ファイル名)
- オブジェクト > ハンドルID: 当該ハンドルの識別ID (先にイベントID: 4656で要求されたハンドルID)
|
| 4 |
セキュリティ |
4689 |
プロセス終了 |
プロセスが終了しました。
- ログの日時: プロセス終了日時 (ローカル時刻)
- プロセス情報 > プロセス名: 実行ファイルのパス (検体の実行ファイル名)
- プロセス情報 > 終了状態: プロセスの戻り値
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated (rule: ProcessTerminate) |
Process terminated.
- UtcTime: プロセス終了日時 (UTC)
- ProcessGuid/ProcessId: プロセスID
- Image: 実行ファイルのパス (検体の実行ファイル名)
|