次の表には、Incident Response Evidence Collection Playbook、Collect Evidence task、およびトレンドマイクロ Incident Response Toolkitが収集し、プロセス情報カテゴリの実行中のプロセスエビデンスタイプに含まれるエビデンスデータの詳細が記載されています。
|
エビデンスデータ
|
説明
|
|
プロセス名
|
プロセスの名前
|
|
プロセスイメージ
|
プロセスのイメージファイルのパス |
|
PID
|
プロセスID
|
|
親PID
|
親プロセスのプロセスID |
|
プロセスファイルSHA1
|
プロセスファイルのSHA1ハッシュ
|
|
カタログ署名
|
プロセスのカタログファイルが署名されているかどうかを示します。
|
|
埋め込み署名
|
プロセスに署名が埋め込まれているかどうかを示します。
|
|
ユーザ名
|
処理を実行したユーザアカウント
|
|
ドメイン
|
プロセスを実行したユーザのドメイン
|
|
作成時刻
|
プロセスが作成された時刻
|
|
終了時刻
|
プロセスの終了時刻
|
|
カーネル時間
|
プロセスがカーネルモードで実行された時間 |
|
ユーザ時間
|
ユーザモードでプロセスが実行された時間 |