ForensicsがLinuxエンドポイントから収集する可能性のあるプロセス情報カテゴリのエビデンスの種類について学びましょう。
実行中のプロセスに関して収集された主要なエビデンス
Forensicsは、エビデンスレポートで[Running Processes]を選択した後、主要なプロセス情報をテーブルに表示します。
|
エビデンスデータ
|
説明 |
|
ユーザ名
|
プロセスに関連付けられたユーザ名
|
|
PID
|
プロセスID
|
|
コマンドライン
|
プロセスを実行するために使用されたコマンドライン
|
|
作成日時
|
プロセスが開始された時刻
|
|
親PID
|
親プロセスのプロセスID
|
|
SHA1
|
関連ファイルのセキュアハッシュアルゴリズム1 (SHA-1)
|
|
カーネル時間
|
カーネルモードでの時間の経過をティックで表したもの
|
|
ユーザ時間
|
ユーザモードで費やされた時間 (ティック単位)
|
詳細なプロセス情報
 |
重要お使いのシステムは、すべてのリストされたメタデータを収集および表示しない可能性があります。
|
実行中のプロセスに関して収集された主要なエビデンス
Forensicsは、エビデンスレポートを調査する際にエビデンスカテゴリを選択した後、列に詳細なプロセス情報を表示します。
|
エビデンスデータ
|
説明 |
|
ユーザ名
|
プロセスに関連付けられたユーザ名
|
|
PID
|
プロセスID
|
|
コマンドライン
|
プロセスを実行するために使用されたコマンドライン
|
|
作成日時
|
プロセスが開始された時刻
|
|
親PID
|
親プロセスのプロセスID
|
|
SHA1
|
関連ファイルのセキュアハッシュアルゴリズム1 (SHA-1)
|
|
カーネル時間
|
カーネルモードでの時間の経過をティックで表したもの
|
|
ユーザ時間
|
ユーザモードで費やされた時間 (ティック単位)
|
ファイル情報
ソケット接続
|
エビデンスデータ
|
説明
|
|
ローカルアドレス
|
関連するローカルインターネットプロトコル (IP) アドレス
|
|
ローカルポート
|
関連するローカル伝送制御プロトコル/ユーザデータグラムプロトコル (TCP)/(UDP) ポート番号
|
|
プロトコル
|
関連する伝送制御プロトコル
|
|
リモートアドレス
|
関連するリモートIPアドレス
|
|
リモートポート
|
関連するリモートTCP/UDPポート番号
|
|
都道府県
|
接続の状態
|
|
作成者UID
|
ソケット作成者のユーザID
|
関連スレッド
|
エビデンスデータ
|
説明
|
|
スレッドID
|
スレッドのプロセスID
|
|
コマンドライン
|
スレッドに関連付けられた実行ファイルのファイル名またはコマンド名
|
|
現在の状態
|
プロセスの現在の状態を表す代表的な文字
|
|
親PID
|
親プロセスのプロセスID
|
|
プロセスグループID
|
プロセスに関連付けられたグループID
|
|
セッションID
|
プロセスのセッションID
|
|
制御端末プロセスグループID
|
制御端末のフォアグラウンドプロセスグループのID
|
|
ユーザ時間
|
ユーザモードで費やされた時間 (ティック単位)
|
|
カーネル時間
|
カーネルモードでの時間の経過をティックで表したもの
|
|
優先度
|
プロセスの優先度値
|
|
ナイス値
|
真のプロセス優先度を設定するために使用される値
|
|
開始日時
|
プロセスの実行時間 (ティック単位)
|
|
仮想メモリ (バイト)
|
バイト単位で使用されている仮想メモリの量
|
|
待機チャネル
|
スリープ中のプロセスのカーネルアドレス
|
|
リアルタイム優先度値
|
リアルタイムプロセスに使用される優先度値
|
|
終了コード
|
スレッドの終了ステータスを表す値
|