wmiexec.vbs

項目	接続元	接続先
通信プロトコル	135/tcp 445/tcp ハイポート/tcp	135/tcp 445/tcp ハイポート/tcp
権限	User	User
ドメインへの所属	不要	不要
サービス	-	-
OS	Windows	Windows
備考	-	-

環境	動作可否
Windows 7 + Windows Server 2012	動作する
Windows 10 + Windows Server 2012	動作する
Windows 11 + Windows Server 2025	動作する

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: cscript [スクリプト名] /cmd [接続先ホスト] [ドメイン名]\[ユーザー名] "[パスワード]" [実行コマンド]
2	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: "C:\Windows\System32\cmd.exe" /c net use \\[接続先ホスト] "[パスワード]" /user:[ドメイン名]\[ユーザー名] プロセス情報 > 作成元プロセス名: C:\Windows\System32\cscript.exe
3	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\System32\net.exe プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: net use \\[接続先ホスト] "[パスワード]" /user:[ドメイン名]\[ユーザー名] プロセス情報 > 作成元プロセス名: C:\Windows\System32\cmd.exe
4	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\net.exe CommandLine: net use \\[接続先ホスト] "[パスワード]" /user:[ドメイン名]\[ユーザー名] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] ParentProcessId: [親プロセスID] ParentImage: C:\Windows\System32\cmd.exe ParentCommandLine: "C:\Windows\System32\cmd.exe" /c net use \\[接続先IPアドレス] "[パスワード]" /user:[ドメイン名]\[ユーザー名] ParentUser: [親プロセスの実行ユーザ]
5	Microsoft-Windows-SmbClient/Connectivity	30830	SmbConnectionInitiatedSelectedInfo	SMB リダイレクターは次のパラメーターで開始された接続を選択しました Server name: [接続先ホスト] ServerSocketAddress: [接続先IPアドレス]:[接続先ポート番号] Transport: TCPIP Instance Name: \Device\LanmanRedirector Port Origin: The port was selected from the global registry settings.
6	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\svchost.exe ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 135 ネットワーク情報 > プロトコル: 6 (TCP)
7	Security	5156	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\cscript.exe ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: [接続先ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
8	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1) プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: "C:\Windows\System32\cmd.exe" /c net use \\[接続先IPアドレス] /del プロセス情報 > 作成元プロセス名: C:\Windows\System32\cscript.exe
9	Microsoft-Windows-SmbClient/Connectivity	30807	ShareConnectionFailure	共有への接続が切断されました。エラー: 3221225673 (ネットワーク名は削除されました。) セッション ID: [セッションID] ツリー ID: [ツリーID] 共有名: \[接続先IPアドレス]\WMI_SHARE
10	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1) プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: net use \\[接続先IPアドレス] /del プロセス情報 > 作成元プロセス名: C:\Windows\System32\cmd.exe

レジストリエントリ

#	パス	値
1	HKU\[ユーザーSID]\Software\Microsoft\Windows Script
2	HKU\[ユーザーSID]\Software\Microsoft\Windows Script\Settings
3	HKU\[ユーザーSID]\Software\Microsoft\Windows Script\Settings\Telemetry
4	HKU\[ユーザーSID]\Software\Microsoft\Windows Script\Settings\Telemetry\cscript.exe	VBScriptSetScriptStateStarted: 2F 58 11 00 00 00 00 00
5	HKU\[ユーザーSID]\Software\Microsoft\Windows Script Host
6	HKU\[ユーザーSID]\Software\Microsoft\Windows Script Host\Settings

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	CSCRIPT.EXE-[ハッシュ値].pf	CSCRIPT.EXE	\VOLUME{GUID}\WINDOWS\SYSTEM32\CSCRIPT.EXE	実行履歴、アクセスしたファイル
2	NET.EXE-[ハッシュ値].pf	NET.EXE	\VOLUME{GUID}\WINDOWS\SYSTEM32\NET.EXE	実行履歴、アクセスしたファイル

MFT

#	パス	ヘッダフラグ	備考
1	.\Windows\Prefetch\CSCRIPT.EXE-[ハッシュ値].pf	FILE	InUse
2	.\Windows\Prefetch\NET.EXE-[ハッシュ値].pf	FILE	InUse

USNジャーナル

#	ファイル名	処理
1	.\Windows\WinSxS\amd64_microsoft-windows-scripting_31bf3856ad364e35_10.0.26100.1591_none_e4284e3cb060c8bf\cscript.exe	Close
2	.\Windows\Prefetch\NET.EXE-[ハッシュ値].pf	FileCreate
3	.\Windows\Prefetch\NET.EXE-[ハッシュ値].pf	DataExtend FileCreate
4	.\Windows\Prefetch\NET.EXE-[ハッシュ値].pf	DataExtend FileCreate Close
5	CSCRIPT.EXE-[ハッシュ値].pf	FileCreate
6	CSCRIPT.EXE-[ハッシュ値].pf	DataExtend FileCreate
7	CSCRIPT.EXE-[ハッシュ値].pf	DataExtend FileCreate Close
8	NET.EXE-[ハッシュ値].pf	RenameOldName+DataExtend+FileCreate+Close

- 接続先

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: 4 アプリケーション情報 > アプリケーション名: System ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 445 ネットワーク情報 > プロトコル: 6 (TCP)
2	Security	4672	Special Logon	新しいログオンに特権が割り当てられました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege
3	Security	5140	File Share	ネットワーク共有オブジェクトにアクセスしました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\IPC$ アクセス要求情報 > アクセス: ReadData (または ListDirectory)
4	Security	5142	File Share	ネットワーク共有オブジェクトが追加されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 共有情報 > 共有名: \\*\WMI_SHARE 共有情報 > 共有パス: C:\windows\temp
5	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetObject: HKLM\System\CurrentControlSet\Services\LanmanServer\Shares\WMI_SHARE User: NT AUTHORITY\SYSTEM
6	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\System32\cmd.exe プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1) プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: cmd.exe /c [実行コマンド] > C:\windows\temp\wmi.dll 2>&1 プロセス情報 > 作成元プロセス名: C:\Windows\System32\wbem\WmiPrvSE.exe
7	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\WMI_SHARE 共有情報 > 共有パス: \??\C:\windows\temp 共有情報 > 相対ターゲット名: wmi.dll アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), ReadEA, ReadAttributes
8	Security	4688	プロセス作成	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1) プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: cmd.exe /c del C:\windows\temp\wmi.dll /F > nul 2>&1 プロセス情報 > 作成元プロセス名: C:\Windows\System32\wbem\WmiPrvSE.exe
9	Security	4659	File System	オブジェクトに対するハンドルが削除を目的として要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\Temp\wmi.dll オブジェクト > ハンドル ID: 0x0 アクセス要求情報 > トランザクション ID: {00000000-0000-0000-0000-000000000000} アクセス要求情報 > アクセス: [アクセス要求情報] アクセス要求情報 > アクセスマスク: 0x10000 アクセス要求情報 > アクセスの確認に使用した特権: SeRestorePrivilege プロセス情報 > プロセス ID: [実行プロセスID]

レジストリエントリ

#	パス	値	備考
1	HKLM\SOFTWARE\Microsoft\Wbem\Tracing\Providers\CIMWin32 @ root/CIMV2\[タイムスタンプ]	"ProcessID: [プロセスID]"
2	HKLM\SOFTWARE\Microsoft\Wbem\Tracing\Providers\smbwmiv2 @ ROOT/Microsoft/Windows/Smb\[タイムスタンプ]	"ProcessID: [プロセスID]"

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	CMD-[ハッシュ値].pf	CMD.EXE	\VOLUME{[GUID]}\WINDOWS\SYSTEM32\CMD.EXE	実行履歴

MFT

#	パス	ヘッダフラグ	備考
1	.\Windows\Prefetch\CMD.EXE-[ハッシュ値].pf	FILE	InUse

USNジャーナル

#	ファイル名	処理	備考
1	CMD.EXE-[ハッシュ値].pf	CLOSE+DATA_EXTEND+FILE_CREATE DATA_EXTEND+FILE_CREATE FILE_CREATE	archive+not_indexed
2	wmi.dll	CLOSE+DATA_EXTEND+FILE_CREATE DATA_EXTEND+FILE_CREATE FILE_CREATE RENAME_OLD_NAME	archive

- 詳細情報

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: cscript [スクリプト名] /cmd [接続先ホスト] [ドメイン名]\[ユーザー名] "[パスワード]" [実行コマンド]
2	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\cscript.exe CommandLine: cscript [スクリプト名] /cmd [接続先ホスト] [ドメイン名]\[ユーザー名] "[パスワード]" [実行コマンド] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentUser: [親プロセスの実行ユーザ]
3	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\cscript.exe TargetObject: HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings User: [ドメイン名]\[ユーザー名]
4	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\cscript.exe TargetObject: HKU\[ユーザーSID]\Software\Microsoft\Windows Script Host\Settings User: [ドメイン名]\[ユーザー名]
5	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: "C:\Windows\System32\cmd.exe" /c net use \\[接続先ホスト] "[パスワード]" /user:[ドメイン名]\[ユーザー名] プロセス情報 > 作成元プロセス名: C:\Windows\System32\cscript.exe
6	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\cmd.exe CommandLine: "C:\Windows\System32\cmd.exe" /c net use \\[接続先ホスト] "[パスワード]" /user:[ドメイン名]\[ユーザー名] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] ParentProcessId: [親プロセスID] ParentImage: C:\Windows\System32\cscript.exe ParentCommandLine: cscript [スクリプト名] /cmd [接続先ホスト] [ドメイン名]\[ユーザー名] "[パスワード]" [実行コマンド] ParentUser: [親プロセスの実行ユーザ]
7	Microsoft-Windows-Sysmon/Operational	10	Process accessed	Process accessed. UtcTime: [発生日時(UTC)] SourceProcessId: [アクセス元プロセスID] SourceThreadId: [アクセス元スレッドID] SourceImage: C:\WINDOWS\system32\cscript.exe TargetProcessId: [アクセス先プロセスID] TargetImage: C:\Windows\System32\cmd.exe GrantedAccess: 0x1FFFFF
8	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\cscript.exe TargetObject: HKLM\SOFTWARE\Microsoft\Wbem User: [ドメイン名]\[ユーザー名]
9	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\cscript.exe TargetObject: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters User: [ドメイン名]\[ユーザー名]
10	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\System32\net.exe プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: net use \\[接続先ホスト] "[パスワード]" /user:[ドメイン名]\[ユーザー名] プロセス情報 > 作成元プロセス名: C:\Windows\System32\cmd.exe
11	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\net.exe CommandLine: net use \\[接続先ホスト] "[パスワード]" /user:[ドメイン名]\[ユーザー名] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] ParentProcessId: [親プロセスID] ParentImage: C:\Windows\System32\cmd.exe ParentCommandLine: "C:\Windows\System32\cmd.exe" /c net use \\[接続先IPアドレス] "[パスワード]" /user:[ドメイン名]\[ユーザー名] ParentUser: [親プロセスの実行ユーザ]
12	Microsoft-Windows-Sysmon/Operational	10	Process accessed	Process accessed. UtcTime: [発生日時(UTC)] SourceProcessId: [アクセス元プロセスID] SourceThreadId: [アクセス元スレッドID] SourceImage: C:\Windows\System32\cmd.exe TargetProcessId: [アクセス先プロセスID] TargetImage: C:\WINDOWS\system32\net.exe GrantedAccess: 0x1FFFFF
13	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: 4 アプリケーション情報 > アプリケーション名: System ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 445 ネットワーク情報 > プロトコル: 6 (TCP)
14	Microsoft-Windows-SmbClient/Connectivity	30830	SmbConnectionInitiatedSelectedInfo	SMB リダイレクターは次のパラメーターで開始された接続を選択しました Server name: [接続先ホスト] ServerSocketAddress: [接続先IPアドレス]:[接続先ポート番号] Transport: TCPIP Instance Name: \Device\LanmanRedirector Port Origin: The port was selected from the global registry settings.
15	Security	4648	Logon	明示的な資格情報を使用してログオンが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 新しいログオン > アカウント名: [指定されたユーザー名] 新しいログオン > アカウント名: [指定されたドメイン名] ターゲットサーバー > ターゲットサーバー名: [ログオン先ホスト名] ターゲットサーバー > 追加情報: [ログオン先ホスト名] プロセス情報 > プロセス ID: 0x4 プロセス情報 > プロセス名: - オブジェクト情報 > 送信元アドレス: [接続先IPアドレス] ネットワーク情報 > ソースポート: [接続先ポート番号]
16	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\net.exe User: [ドメイン名]\[ユーザー名]
17	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\net.exe
18	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\NET.EXE-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)]
19	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\cmd.exe User: [ドメイン名]\[ユーザー名]
20	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\cmd.exe
21	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\CMD.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
22	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\CMD.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
23	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\CMD.EXE-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)]
24	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
25	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\CSCRIPT.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
26	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\CSCRIPT.EXE-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)]
27	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\CSCRIPT.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
28	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
29	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\svchost.exe ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 135 ネットワーク情報 > プロトコル: 6 (TCP)
30	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\lsass.exe ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 88 ネットワーク情報 > プロトコル: 6 (TCP)
31	Security	4648	Logon	明示的な資格情報を使用してログオンが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 新しいログオン > アカウント名: [指定されたユーザー名] 新しいログオン > アカウント名: [指定されたドメイン名] ターゲットサーバー > ターゲットサーバー名: [ログオン先ホスト名] ターゲットサーバー > 追加情報: RPCSS/[ログオン先ホスト名] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe オブジェクト情報 > 送信元アドレス: [接続先IPアドレス] ネットワーク情報 > ソースポート: 135
32	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\cscript.exe ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: [接続先ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
33	Security	4648	Logon	明示的な資格情報を使用してログオンが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 新しいログオン > アカウント名: [指定されたユーザー名] 新しいログオン > アカウント名: [指定されたドメイン名] ターゲットサーバー > ターゲットサーバー名: [ログオン先ホスト名] ターゲットサーバー > 追加情報: host/[ログオン先ホスト名] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\cscript.exe オブジェクト情報 > 送信元アドレス: [接続先IPアドレス] ネットワーク情報 > ソースポート: [接続先ポート番号]
34	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\svchost.exe Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 135
35	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\cscript.exe User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: [接続先ポート番号]
36	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1) プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: "C:\Windows\System32\cmd.exe" /c net use \\[接続先IPアドレス] /del プロセス情報 > 作成元プロセス名: C:\Windows\System32\cscript.exe
37	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\cmd.exe FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ] CommandLine: "C:\Windows\System32\cmd.exe" /c net use \\[接続先IPアドレス] /del CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] IntegrityLevel: Medium Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentImage: C:\Windows\System32\cscript.exe ParentCommandLine: cscript [スクリプト名] /cmd [接続先IPアドレス] [ドメイン名]\[ユーザー名] "[パスワード]" [実行コマンド] ParentUser: [親プロセスの実行ユーザ]
38	Microsoft-Windows-Sysmon/Operational	10	Process accessed	Process accessed. UtcTime: [発生日時(UTC)] SourceProcessId: [アクセス元プロセスID] SourceThreadId: [アクセス元スレッドID] SourceImage: C:\WINDOWS\system32\cscript.exe TargetProcessId: [アクセス先プロセスID] TargetImage: C:\Windows\System32\cmd.exe GrantedAccess: 0x1FFFFF
39	Microsoft-Windows-SmbClient/Connectivity	30807	ShareConnectionFailure	共有への接続が切断されました。エラー: 3221225673 (ネットワーク名は削除されました。) セッション ID: [セッションID] ツリー ID: [ツリーID] 共有名: \[接続先IPアドレス]\WMI_SHARE
40	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\cscript.exe TargetObject: HKU\[ユーザーSID]\Software\Microsoft\Windows Script\Settings\Telemetry\cscript.exe User: [ドメイン名]\[ユーザー名]
41	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\cscript.exe TargetObject: HKU\[ユーザーSID]\Software\Microsoft\Windows Script\Settings\Telemetry\cscript.exe\VBScriptSetScriptStateStarted Details: QWORD (0x00000000-0x0011582f) User: [ドメイン名]\[ユーザー名]
42	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\cscript.exe User: [ドメイン名]\[ユーザー名]
43	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\cscript.exe
44	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1) プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: net use \\[接続先IPアドレス] /del プロセス情報 > 作成元プロセス名: C:\Windows\System32\cmd.exe
45	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\net.exe CommandLine: net use \\[接続先IPアドレス] /del CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] ParentProcessId: [親プロセスID] ParentImage: C:\Windows\System32\cmd.exe ParentCommandLine: "C:\Windows\System32\cmd.exe" /c net use \\[接続先IPアドレス] /del ParentUser: [親プロセスの実行ユーザ]
46	Microsoft-Windows-Sysmon/Operational	10	Process accessed	Process accessed. UtcTime: [発生日時(UTC)] SourceProcessId: [アクセス元プロセスID] SourceThreadId: [アクセス元スレッドID] SourceImage: C:\Windows\System32\cmd.exe TargetProcessId: [アクセス先プロセスID] TargetImage: C:\WINDOWS\system32\net.exe GrantedAccess: 0x1FFFFF
47	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\net.exe User: [ドメイン名]\[ユーザー名]
48	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\net.exe
49	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\NET.EXE-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)]
50	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\cmd.exe User: [ドメイン名]\[ユーザー名]
51	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\cmd.exe
52	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\CMD.EXE-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)]

レジストリエントリ

#	パス	値
1	HKU\[ユーザーSID]\Software\Microsoft\Windows Script
2	HKU\[ユーザーSID]\Software\Microsoft\Windows Script\Settings
3	HKU\[ユーザーSID]\Software\Microsoft\Windows Script\Settings\Telemetry
4	HKU\[ユーザーSID]\Software\Microsoft\Windows Script\Settings\Telemetry\cscript.exe	VBScriptSetScriptStateStarted: 2F 58 11 00 00 00 00 00
5	HKU\[ユーザーSID]\Software\Microsoft\Windows Script Host
6	HKU\[ユーザーSID]\Software\Microsoft\Windows Script Host\Settings

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	CSCRIPT.EXE-[ハッシュ値].pf	CSCRIPT.EXE	\VOLUME{GUID}\WINDOWS\SYSTEM32\CSCRIPT.EXE	実行履歴、アクセスしたファイル
2	NET.EXE-[ハッシュ値].pf	NET.EXE	\VOLUME{GUID}\WINDOWS\SYSTEM32\NET.EXE	実行履歴、アクセスしたファイル

MFT

#	パス	ヘッダフラグ	備考
1	.\Windows\Prefetch\CSCRIPT.EXE-[ハッシュ値].pf	FILE	InUse
2	.\Windows\Prefetch\NET.EXE-[ハッシュ値].pf	FILE	InUse

USNジャーナル

#	ファイル名	処理
1	.\Windows\WinSxS\amd64_microsoft-windows-scripting_31bf3856ad364e35_10.0.26100.1591_none_e4284e3cb060c8bf\cscript.exe	Close
2	.\Windows\Prefetch\NET.EXE-[ハッシュ値].pf	DataExtend FileCreate Close
3	CSCRIPT.EXE-[ハッシュ値].pf	DataExtend FileCreate Close
4	NET.EXE-[ハッシュ値].pf	DataExtend FileCreate Close

- 接続先

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: 4 アプリケーション情報 > アプリケーション名: System ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 445 ネットワーク情報 > プロトコル: 6 (TCP)
2	Security	4672	Special Logon	新しいログオンに特権が割り当てられました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege
3	Security	4624	Logon	アカウントが正常にログオンしました。サブジェクト > セキュリティ ID: NULL SID サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: 0x0 新しいログオン > セキュリティ ID: [ログオンユーザーSID] 新しいログオン > アカウント名: [ログオンユーザー名] 新しいログオン > アカウント名: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] ログオン情報 > ログオンタイプ: 3 ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ログオン情報 > 昇格されたトークン: True
4	Security	5140	File Share	ネットワーク共有オブジェクトにアクセスしました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\IPC$ アクセス要求情報 > アクセス: ReadData (または ListDirectory)
5	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: System User: NT AUTHORITY\SYSTEM Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 445
6	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\svchost.exe ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 135 ネットワーク情報 > プロトコル: 6 (TCP)
7	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\svchost.exe ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: [接続先ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
8	Security	4672	Special Logon	新しいログオンに特権が割り当てられました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege
9	Security	4624	Logon	アカウントが正常にログオンしました。サブジェクト > セキュリティ ID: NULL SID サブジェクト > アカウント名: - サブジェクト > アカウントドメイン: - サブジェクト > ログオン ID: [ログオンID] 新しいログオン > セキュリティ ID: [ログオンユーザーSID] 新しいログオン > アカウント名: [ログオンユーザー名] 新しいログオン > アカウント名: [ドメイン名] 新しいログオン > ログオン ID: [ログオンID] ログオン情報 > ログオンタイプ: 3 ネットワーク情報 > ソースワークステーション名: [接続元ホスト名] ネットワーク情報 > ソースネットワークアドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ログオン情報 > 昇格されたトークン: True
10	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: SYSTEM 作成元サブジェクト > アカウント名: [コンピューターアカウント] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\System32\wbem\WmiPrvSE.exe プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1) プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding プロセス情報 > 作成元プロセス名: C:\Windows\System32\svchost.exe
11	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\wbem\WmiPrvSE.exe CommandLine: C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding CurrentDirectory: C:\WINDOWS\system32\ User: NT AUTHORITY\NETWORK SERVICE LogonId: [ログオンID] IntegrityLevel: System Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentImage: C:\Windows\System32\svchost.exe ParentCommandLine: C:\WINDOWS\system32\svchost.exe -k DcomLaunch -p ParentUser: NT AUTHORITY\SYSTEM
12	Security	5142	File Share	ネットワーク共有オブジェクトが追加されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 共有情報 > 共有名: \\*\WMI_SHARE 共有情報 > 共有パス: C:\windows\temp
13	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetObject: HKLM\System\CurrentControlSet\Services\LanmanServer\Shares User: NT AUTHORITY\SYSTEM
14	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetObject: HKLM\System\CurrentControlSet\Services\LanmanServer\Shares\WMI_SHARE User: NT AUTHORITY\SYSTEM
15	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetObject: HKLM\System\CurrentControlSet\Services\LanmanServer\Shares\Security User: NT AUTHORITY\SYSTEM
16	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetObject: HKLM\System\CurrentControlSet\Services\LanmanServer\Shares\Security\WMI_SHARE Details: Binary Data User: NT AUTHORITY\SYSTEM
17	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\System32\cmd.exe プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1) プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: cmd.exe /c [実行コマンド] > C:\windows\temp\wmi.dll 2>&1 プロセス情報 > 作成元プロセス名: C:\Windows\System32\wbem\WmiPrvSE.exe
18	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\cmd.exe CommandLine: cmd.exe /c [実行コマンド] > C:\windows\temp\wmi.dll 2>&1 CurrentDirectory: C:\WINDOWS\system32\ User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] IntegrityLevel: High ParentProcessId: [親プロセスID] ParentImage: C:\Windows\System32\wbem\WmiPrvSE.exe ParentCommandLine: C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding ParentUser: NT AUTHORITY\NETWORK SERVICE
19	Microsoft-Windows-Sysmon/Operational	10	Process accessed	Process accessed. UtcTime: [発生日時(UTC)] SourceProcessId: [アクセス元プロセスID] SourceThreadId: [アクセス元スレッドID] SourceImage: C:\WINDOWS\system32\wbem\wmiprvse.exe TargetProcessId: [アクセス先プロセスID] TargetImage: C:\WINDOWS\system32\cmd.exe GrantedAccess: 0x1FFFFF
20	Microsoft-Windows-WMI-Activity/Operational	5858	なし	ID = [ID]; クライアントコンピューター = [クライアントコンピューター]; ユーザー = [ユーザー]; クライアントプロセス ID = [クライアントプロセス ID]; コンポーネント = [コンポーネント]; 操作 = [操作]; 結果コード = [結果コード]; 考えられる原因 = [考えられる原因] ID: [イベントID（GUID）] クライアントコンピューター: [接続先ホスト名] ユーザー: NT AUTHORITY\SYSTEM クライアントプロセス ID: [プロセスID] コンポーネント: Provider 操作: Start IWbemServices::ExecMethod - ROOT\Microsoft\Windows\Smb : MSFT_SmbShare::FireShareChangeEvent 結果コード: 0x80041007 考えられる原因: Unknown
21	Security	4674	Sensitive Privilege Use	特権のあるオブジェクトで操作が試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: \Device\ConDrv 要求された操作 > 特権: SeTakeOwnershipPrivilege プロセス情報 > プロセス名: C:\Windows\System32\cmd.exe
22	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\conhost.exe CommandLine: \??\C:\WINDOWS\system32\conhost.exe 0xffffffff -ForceV1 CurrentDirectory: C:\WINDOWS User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] IntegrityLevel: High Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentImage: C:\Windows\System32\cmd.exe ParentCommandLine: cmd.exe /c [実行コマンド] > C:\windows\temp\wmi.dll 2>&1 ParentUser: [ドメイン名]\[ユーザー名]
23	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\cmd.exe TargetFilename: C:\Windows\Temp\wmi.dll CreationUtcTime: [ファイル作成日時(UTC)] User: [ドメイン名]\[ユーザー名]
24	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\cmd.exe
25	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\Temp\wmi.dll オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: [要求された権限] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\cmd.exe
26	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1) プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: [実行コマンド] プロセス情報 > 作成元プロセス名: C:\Windows\System32\cmd.exe
27	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行コマンドのパス] CommandLine: [実行コマンド] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] IntegrityLevel: High Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentImage: C:\Windows\System32\cmd.exe ParentCommandLine: cmd.exe /c [実行コマンド] > C:\windows\temp\wmi.dll 2>&1 ParentUser: [ドメイン名]\[ユーザー名]
28	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\Temp\wmi.dll オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行コマンドのパス]
29	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行コマンドのパス]
30	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: [実行コマンドのパス]
31	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\cmd.exe
32	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\cmd.exe User: [ドメイン名]\[ユーザー名]
33	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [実行プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\cmd.exe
34	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\svchost.exe User: NT AUTHORITY\NETWORK SERVICE Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: 135
35	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\svchost.exe User: NT AUTHORITY\SYSTEM Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: [接続先ポート番号]
36	Security	5140	File Share	ネットワーク共有オブジェクトにアクセスしました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\WMI_SHARE 共有情報 > 共有パス: \??\C:\windows\temp アクセス要求情報 > アクセス: ReadData (または ListDirectory)
37	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [接続元ポート番号] 共有情報 > 共有名: \\*\WMI_SHARE 共有情報 > 共有パス: \??\C:\windows\temp 共有情報 > 相対ターゲット名: wmi.dll アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), ReadEA, ReadAttributes
38	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: NULL SID 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\System32\cmd.exe プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1) プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: cmd.exe /c del C:\windows\temp\wmi.dll /F > nul 2>&1 プロセス情報 > 作成元プロセス名: C:\Windows\System32\wbem\WmiPrvSE.exe
39	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\Windows\System32\cmd.exe CommandLine: cmd.exe /c del C:\windows\temp\wmi.dll /F > nul 2>&1 CurrentDirectory: C:\WINDOWS\system32\ User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] IntegrityLevel: High ParentProcessId: [親プロセスID] ParentImage: C:\Windows\System32\wbem\WmiPrvSE.exe ParentCommandLine: C:\WINDOWS\system32\wbem\wmiprvse.exe -secured -Embedding ParentUser: NT AUTHORITY\NETWORK SERVICE
40	Microsoft-Windows-Sysmon/Operational	10	Process accessed	Process accessed. UtcTime: [発生日時(UTC)] SourceProcessId: [アクセス元プロセスID] SourceThreadId: [アクセス元スレッドID] SourceImage: C:\WINDOWS\system32\wbem\wmiprvse.exe TargetProcessId: [アクセス先プロセスID] TargetImage: C:\WINDOWS\system32\cmd.exe GrantedAccess: 0x1FFFFF
41	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > プロセスのコマンドライン: \??\C:\WINDOWS\system32\conhost.exe 0xffffffff -ForceV1 プロセス情報 > 作成元プロセス名: C:\Windows\System32\cmd.exe
42	Security	4674	Sensitive Privilege Use	特権のあるオブジェクトで操作が試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: \Device\ConDrv 要求された操作 > 特権: SeTakeOwnershipPrivilege プロセス情報 > プロセス名: C:\Windows\System32\cmd.exe
43	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\System32\conhost.exe CommandLine: \??\C:\WINDOWS\system32\conhost.exe 0xffffffff -ForceV1 CurrentDirectory: C:\WINDOWS User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] IntegrityLevel: High ParentProcessId: [親プロセスID] ParentImage: C:\Windows\System32\cmd.exe ParentCommandLine: cmd.exe /c del C:\windows\temp\wmi.dll /F > nul 2>&1 ParentUser: [ドメイン名]\[ユーザー名]
44	Security	5144	File Share	ネットワーク共有オブジェクトが削除されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] 共有情報 > 共有名: \\*\WMI_SHARE 共有情報 > 共有パス: C:\windows emp
45	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: DeleteValue UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetObject: HKLM\System\CurrentControlSet\Services\LanmanServer\Shares\Security\WMI_SHARE User: NT AUTHORITY\SYSTEM
46	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: DeleteValue UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetObject: HKLM\System\CurrentControlSet\Services\LanmanServer\Shares\WMI_SHARE User: NT AUTHORITY\SYSTEM
47	Security	4659	File System	オブジェクトに対するハンドルが削除を目的として要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\Temp\wmi.dll オブジェクト > ハンドル ID: 0x0 アクセス要求情報 > トランザクション ID: {00000000-0000-0000-0000-000000000000} アクセス要求情報 > アクセス: [アクセス要求情報] アクセス要求情報 > アクセスマスク: 0x10000 アクセス要求情報 > アクセスの確認に使用した特権: SeRestorePrivilege プロセス情報 > プロセス ID: [実行プロセスID]
48	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: C:\Windows\Temp\wmi.dll オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: SeRestorePrivilege プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\cmd.exe
49	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] オブジェクト > オブジェクトサーバー: Security オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\cmd.exe
50	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\Windows\System32\cmd.exe User: [ドメイン名]\[ユーザー名]
51	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\cmd.exe
52	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\CMD.EXE-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)]
53	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\WMIPRVSE.EXE-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)]
54	Security	4634	Logoff	アカウントがログオフしました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > ログオン ID: [イベント4624で記録されたログオンID] ログオンタイプ: 3
55	Security	4634	Logoff	アカウントがログオフしました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > ログオン ID: [イベント4624で記録されたログオンID] ログオンタイプ: 3

レジストリエントリ

#	パス	値	備考
1	HKLM\SOFTWARE\Microsoft\Wbem\Tracing\Providers\CIMWin32 @ root/CIMV2\[タイムスタンプ]	"ProcessID: [プロセスID]"
2	HKLM\SOFTWARE\Microsoft\Wbem\Tracing\Providers\smbwmiv2 @ ROOT/Microsoft/Windows/Smb\[タイムスタンプ]	"ProcessID: [プロセスID]"

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	CMD-[ハッシュ値].pf	CMD.EXE	\VOLUME{[GUID]}\WINDOWS\SYSTEM32\CMD.EXE	実行履歴

MFT

#	パス	ヘッダフラグ	備考
1	.\Windows\Prefetch\CMD.EXE-[ハッシュ値].pf	FILE	InUse

USNジャーナル

#	ファイル名	処理	備考
1	CMD.EXE-[ハッシュ値].pf	CLOSE+DATA_EXTEND+FILE_CREATE	archive+not_indexed
2	wmi.dll	CLOSE+DATA_EXTEND+FILE_CREATE RENAME_OLD_NAME	archive

- パケット

#	オペレーション	接続元ホスト	接続元ポート番号	接続先ホスト	接続先ポート	プロトコル	アプリケーション
1	Session message; Negotiate Protocol	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
2	Negotiate Protocol Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
3	Negotiate Protocol Request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
4	Negotiate Protocol Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
5	Session Setup Request, NTLMSSP_NEGOTIATE	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
6	Session Setup Response, Error: STATUS_MORE_PROCESSING_REQUIRED, NTLMSSP_CHALLENGE	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
7	Session Setup Request, NTLMSSP_AUTH, User: [ドメイン名]\\[ユーザー名]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
8	Session Setup Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
9	Tree Connect Request, Tree: '\\\\[接続先IPアドレス]\\IPC$'	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
10	Tree Connect Response, Tree: '\\\\[接続先IPアドレス]\\IPC$'	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
11	Ioctl Request FSCTL_QUERY_NETWORK_INTERFACE_INFO	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
12	Ioctl Response FSCTL_QUERY_NETWORK_INTERFACE_INFO	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
13	Bind: call_id: 2, Fragment: Single, 2 context items: IOXIDResolver V0.0 (32bit NDR), IOXIDResolver V0.0 (6cb71c2c-9812-4540-0300-000000000000)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	135	tcp	DCERPC
14	Bind_ack: call_id: 2, Fragment: Single, max_xmit: 5840 max_recv: 5840, 2 results: Acceptance, Negotiate ACK	[接続先IPアドレス]	135	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
15	ServerAlive2 request IOXIDResolver V0	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	135	tcp	IOXIDResolver
16	ServerAlive2 response	[接続先IPアドレス]	135	[接続元IPアドレス]	[接続元ポート番号]	tcp	IOXIDResolver
17	Bind: call_id: 3, Fragment: Single, 1 context items: ISystemActivator V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	135	tcp	DCERPC
18	Bind_ack: call_id: 3, Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	135	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
19	Alter_context: call_id: 3, Fragment: Single, 1 context items: ISystemActivator V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	135	tcp	DCERPC
20	Alter_context_resp: call_id: 3, Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	135	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
21	RemoteCreateInstance request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	135	tcp	ISystemActivator
22	RemoteCreateInstance response	[接続先IPアドレス]	135	[接続元IPアドレス]	[接続元ポート番号]	tcp	ISystemActivator
23	Bind: call_id: 2, Fragment: Single, 3 context items: IRemUnknown2 V0.0 (32bit NDR), IRemUnknown2 V0.0 (64bit NDR), IRemUnknown2 V0.0 (6cb71c2c-9812-4540-0300-000000000000)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
24	Bind_ack: call_id: 2, Fragment: Single, max_xmit: 5840 max_recv: 5840, 3 results: Provider rejection, Acceptance, Negotiate ACK	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
25	Alter_context: call_id: 2, Fragment: Single, 1 context items: IRemUnknown2 V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
26	Alter_context_resp: call_id: 2, Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
27	Alter_context: call_id: 2, Fragment: Single, 1 context items: IRemUnknown2 V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
28	Alter_context_resp: call_id: 2, Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
29	RemQueryInterface request IID[1]=IWBEMLOGINCLIENTID	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	IRemUnknown2
30	RemQueryInterface response S_OK[1] -> S_OK	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	IRemUnknown2
31	RemQueryInterface request IID[1]=???[Long frame (4 bytes)]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	IRemUnknown2
32	RemQueryInterface response -> S_FALSE[Long frame (56 bytes)]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	IRemUnknown2
33	Alter_context: call_id: 4, Fragment: Single, 1 context items: IWBEMLOGINCLIENTID V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
34	Alter_context_resp: call_id: 4, Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
35	SetClientInfo request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	IWBEMLOGINCLIENTID
36	SetClientInfo response	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	IWBEMLOGINCLIENTID
37	Alter_context: call_id: 5, Fragment: Single, 1 context items: IWBEMLOGINCLIENTIDEX V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
38	Alter_context_resp: call_id: 5, Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
39	SetClientInfoEx request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	IWBEMLOGINCLIENTIDEX
40	SetClientInfoEx response	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	IWBEMLOGINCLIENTIDEX
41	Alter_context: call_id: 6, Fragment: Single, 1 context items: IWBEMLEVEL1LOGIN V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
42	Alter_context_resp: call_id: 6, Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
43	EstablishPosition request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	IWBEMLEVEL1LOGIN
44	EstablishPosition response	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	IWBEMLEVEL1LOGIN
45	NTLMLogin request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	IWBEMLEVEL1LOGIN
46	NTLMLogin response	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	IWBEMLEVEL1LOGIN
47	RemRelease request Cnt=0[Long frame (80 bytes)]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	IRemUnknown2
48	RemRelease response -> S_OK	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	IRemUnknown2
49	Alter_context: call_id: 9, Fragment: Single, 1 context items: IWBEMSERVICES V0.0 (32bit NDR), NTLMSSP_NEGOTIATE	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
50	Alter_context_resp: call_id: 9, Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance, NTLMSSP_CHALLENGE	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
51	AUTH3: call_id: 9, Fragment: Single, NTLMSSP_AUTH, User: [ドメイン名]\\[ユーザー名]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
52	Response: call_id: 9, Fragment: 1st, Ctx: 5 [DCE/RPC 1st fragment, reas: #168]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
53	Response: call_id: 9, Fragment: Mid, Ctx: 5 [DCE/RPC Mid fragment, reas: #168]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
54	Response: call_id: 12, Fragment: 1st, Ctx: 5 [DCE/RPC 1st fragment, reas: #181]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
55	Response: call_id: 12, Fragment: Mid, Ctx: 5 [DCE/RPC Mid fragment, reas: #181]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
56	Response: call_id: 12, Fragment: Mid, Ctx: 5 [DCE/RPC Mid fragment, reas: #181]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
57	Ioctl Request FSCTL_DFS_GET_REFERRALS	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
58	Ioctl Response, Error: STATUS_FS_DRIVER_REQUIRED	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
59	Tree Connect Request, Tree: '\\\\[接続先ホスト]\\WMI_SHARE'	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
60	Tree Connect Response, Tree: '\\\\[接続先ホスト]\\WMI_SHARE'	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
61	Create Request, File: wmi.dll	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
62	Create Response, File: wmi.dll	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
63	Read Request Len:348 Off:0, File: wmi.dll	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
64	Read Response, File: wmi.dll	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
65	Response: call_id: 15, Fragment: 1st, Ctx: 5 [DCE/RPC 1st fragment, reas: #215]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
66	Response: call_id: 15, Fragment: Mid, Ctx: 5 [DCE/RPC Mid fragment, reas: #215]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
67	Response: call_id: 15, Fragment: Mid, Ctx: 5 [DCE/RPC Mid fragment, reas: #215]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
68	RemQueryInterface request IID[1]=???[Long frame (4 bytes)]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	IRemUnknown2
69	RemQueryInterface response -> S_FALSE[Long frame (56 bytes)]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	IRemUnknown2
70	Alter_context: call_id: 19, Fragment: Single, 1 context items: IWbemFetchSmartEnum V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
71	Alter_context_resp: call_id: 19, Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
72	Request: call_id: 19, Fragment: Single, opnum: 3, Ctx: 6 IWbemFetchSmartEnum V0	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
73	Response: call_id: 19, Fragment: Single, Ctx: 6 IWbemFetchSmartEnum V0	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
74	Alter_context: call_id: 20, Fragment: Single, 1 context items: IWbemWCOSmartEnum V0.0 (32bit NDR)	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
75	Alter_context_resp: call_id: 20, Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
76	Request: call_id: 20, Fragment: Single, opnum: 3, Ctx: 7 IWbemWCOSmartEnum V0	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
77	Response: call_id: 20, Fragment: Single, Ctx: 7 IWbemWCOSmartEnum V0	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
78	Response: call_id: 21, Fragment: 1st, Ctx: 5 [DCE/RPC 1st fragment, reas: #237]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
79	Response: call_id: 21, Fragment: Mid, Ctx: 5 [DCE/RPC Mid fragment, reas: #237]	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
80	Lease Break Notification, Error: STATUS_FILE_CLOSED	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
81	Close Request, File: wmi.dll	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
82	Close Response, Error: STATUS_NETWORK_NAME_DELETED	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
83	Tree Connect Request, Tree: '\\\\[接続先IPアドレス]\\WMI_SHARE'	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
84	Tree Connect Response, Error: STATUS_BAD_NETWORK_NAME	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
85	Tree Connect Request, Tree: '\\\\[接続先IPアドレス]\\WMI_SHARE'	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
86	Request: call_id: 23, Fragment: Single, opnum: 3, Ctx: 7 IWbemWCOSmartEnum V0	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	DCERPC
87	Tree Connect Response, Error: STATUS_BAD_NETWORK_NAME	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
88	Response: call_id: 23, Fragment: Single, Ctx: 7 IWbemWCOSmartEnum V0	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	DCERPC
89	Tree Connect Request, Tree: '\\\\[接続先IPアドレス]\\WMI_SHARE'	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
90	Tree Connect Response, Error: STATUS_BAD_NETWORK_NAME	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
91	RemRelease request Cnt=0[Long frame (56 bytes)]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	IRemUnknown2
92	RemRelease response -> S_OK	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	IRemUnknown2
93	RemRelease request Cnt=0[Long frame (32 bytes)]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	IRemUnknown2
94	RemRelease response -> S_OK	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	IRemUnknown2
95	RemRelease request Cnt=0[Long frame (32 bytes)]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	[接続先ポート番号]	tcp	IRemUnknown2
96	RemRelease response -> S_OK	[接続先IPアドレス]	[接続先ポート番号]	[接続元IPアドレス]	[接続元ポート番号]	tcp	IRemUnknown2
97	Tree Disconnect Request, Tree: '\\\\[接続先IPアドレス]\\IPC$'	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
98	Tree Disconnect Response, Tree: '\\\\[接続先IPアドレス]\\IPC$'	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
99	Session Logoff Request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB2
100	Session Logoff Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2

wmiexec.vbs

- 目次

- ツール概要

- ツール動作概要

- 概要

- 動作確認環境

- ログから得られる情報

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

レジストリエントリ

Prefetch

MFT

USNジャーナル

- 接続先

イベントログ

レジストリエントリ

Prefetch

MFT

USNジャーナル

- 詳細情報

- 接続元

イベントログ

レジストリエントリ

Prefetch

MFT

USNジャーナル

- 接続先

イベントログ

レジストリエントリ

Prefetch

MFT

USNジャーナル

- パケット