以下のカテゴリには、インシデント対応エビデンス収集Playbook、エビデンス収集タスク、およびトレンドマイクロインシデント対応ツールキットがWindowsエンドポイントから収集するエビデンスの種類の説明が含まれています。これらのエビデンスの種類は、エビデンスレポートを調査する際にエビデンスカテゴリを選択した後の列に表示されます。
-
Portable Executable (PE) File Attributes
注意
複数のエビデンスカテゴリはPEファイル属性を組み込むことができます。
| 属性 | 説明 |
|
ファイルパス
|
ファイルの絶対パス
|
|
ファイルサイズ
|
ファイルのサイズ (バイト)
|
|
SHA1
|
ファイルの内容のSHA1暗号化ハッシュ
|
|
ユーザアカウント
|
ファイルに関連付けられているアカウント名またはセキュリティ識別子
|
|
ユーザドメイン
|
ファイルに関連付けられているセキュリティ識別子のドメイン名
|
|
ファイル拡張子
|
ファイルのファイル形式を示すサフィックス
|
|
実ファイルタイプ
|
ファイルヘッダの署名によって決定されるファイルの種類
|
|
署名されたカタログ
|
カタログファイル内のファイルにデジタル署名が含まれているかどうかを示します。
|
|
埋め込み署名済み
|
埋め込まれたPEファイルの署名が検証されているかどうかを示します。
|
|
カタログ署名者
|
カタログファイルのデジタル署名の署名者
|
|
埋め込み署名者
|
埋め込まれたPEファイルのデジタル署名の署名者
|
|
コンパイルされたタイムスタンプ
|
PEファイルがコンパイルされた時刻
|
|
インポートテーブルハッシュ
|
PEファイル内のインポートされた関数のMD5ハッシュ |
|
リンカーのバージョン
|
ファイルリンカーのバージョン番号
|
|
ファイルのバージョン
|
4つの16ビット整数で表されるファイルバージョン番号
|
|
デバッグパス
|
存在するデバッグ情報のファイルパス
|
|
サブシステム
|
イメージの実行に必要なWindowsサブシステム
|
|
会社名
|
ファイルがコンパイルされたときの社内名
|
|
ファイルの説明
|
ファイルがコンパイルされたときのファイルの内部記述
|
|
内部名
|
ファイルの内部名
|
|
作成時刻
|
ファイルシステムでファイルが作成された時刻
|
|
時刻の変更
|
ファイルシステムでファイルが最後に変更された時刻
|
|
アクセス時間
|
ファイルシステムでファイルが最後にアクセスされた時刻
|
|
エビデンスの種類
|
エビデンスデータ
|
説明
|
|
システム情報
|
ホスト名
|
エンドポイントのドメインネームシステム (DNS) ホスト名
|
|
UUID
|
エンドポイントハードウェアプロファイルのシステム生成のユニバーサル一意識別子 (UUID) 文字列
|
|
|
CPUの種類
|
システムの中央処理装置 (CPU) アーキテクチャ
|
|
|
CPUのブランド
|
現在サポートされているプロセッサのブランド
|
|
|
CPUの物理コア
|
CPUの物理コア数
|
|
|
CPU論理コア
|
CPUの論理コア数
|
|
|
CPUマイクロコード
|
CPUファームウェアとして機能する中間コード | |
| 物理メモリ (KB) |
キロバイト (KB) で表示される物理メモリの量
|
|
|
ハードウェアベンダー
|
システムのマザーボードの製造元 | |
|
ハードウェアモデル
|
エンドポイントのデバイスモデル | |
|
ハードウェアシリアル
|
エンドポイントハードウェアのソフトウェアコンポーネントのシリアル番号 | |
|
コンピュータ名
|
エンドポイントのネットワーク基本入出力システム (NetBIOS) 名
|
|
|
OSバージョン
|
名前
|
OSディストリビューションまたは製品名
|
|
インストール時間
|
エンドポイントにOSがインストールされた日付
|
|
|
バージョン
|
エンドポイントで実行されているプライマリOSのバージョン
|
|
|
Major
|
現在のOSのメジャーリリースバージョン
|
|
|
Minor
|
現在のOSのマイナーリリースバージョン | |
|
ビルド
|
ビルド固有またはバリアントのOSバージョン識別子 | |
|
プラットフォーム
|
OSプラットフォームまたはID
|
|
|
のようなプラットフォーム
|
密接に関連するプラットフォーム
|
|
|
コードネーム
|
OSバージョンコード名 | |
|
アーチ
|
OSアーキテクチャ | |
|
インタフェースの詳細
|
MAC
|
エンドポイントネットワークアダプタのメディアアクセス制御 (MAC) アドレス
|
|
最終変更時刻
|
デバイスの最終変更時刻 | |
|
ネットワークインタフェース
|
ネットワークIPv4アドレスに関連付けられたインターネットプロトコルバージョン4 (IPv4) インターフェースのインデックス
|
|
|
MTU
|
最大転送ユニット (MTU) サイズ (バイト)
|
|
|
メトリック
|
ネットワークアダプタアドレスのIPv4インタフェースメトリック
|
|
|
フラグ
|
ネットワークアダプタの設定を指定するフラグ | |
|
衝突
|
検出されたパケット衝突の数 | |
|
フレンドリ名
|
ネットワークアダプタのわかりやすい名前 | |
|
説明
|
ネットワークアダプタの説明
|
|
|
製造元
|
ネットワークアダプタの製造元
|
|
|
接続ID
|
[コントロールパネルのネットワーク接続] セクションに表示されるネットワーク接続の名前
|
|
|
接続ステータス
|
ネットワークアダプタのネットワーク接続の状態 | |
|
有効
|
アダプターが有効かどうかの表示
|
|
| 物理アダプタ | アダプターが物理的なものであるかどうかの指示 | |
|
速度
|
現在の帯域幅の推定 (ビット/秒)、または推定できない場合の公称帯域幅 | |
|
サービス
|
ネットワークアダプタのサービス名
|
|
| DHCP有効 | 動的ホスト構成プロトコルバージョン4 (DHCPv4) が有効かどうかの表示 | |
|
DHCPリースの期限切れ
|
DHCPサーバがエンドポイントに割り当てたリースされたインターネットプロトコル (IP) アドレスの有効期限日時 | |
|
DHCPリースを取得しました
|
リースされたIPアドレスがDHCPサーバを介してエンドポイントに割り当てられた日時 | |
|
DHCPサーバ
|
DHCPサーバのIPアドレス
|
|
|
DNSドメイン
|
組織のドメイン名とサフィックス
|
|
|
DNSドメインサフィックスの検索順序
|
ドメイン名解決時にホスト名の末尾に適用されるDNSドメインサフィックスのリスト
|
|
|
DNSホスト名
|
認証用のエンドポイントの識別に使用する名前
|
|
|
DNSサーバの検索順序
|
DNSサーバのクエリ時に使用されるサーバIPアドレスのリスト
|
|
|
iパケット
|
インタフェースが受信したユニキャストパケット数 | |
|
oパケット
|
インタフェース経由で送信されたデータのオクテット数 | |
|
iBytes
|
インタフェースが受信したデータのオクテット数
|
|
|
バイト数
|
インタフェース経由で送信されたユニキャストパケット数
|
|
|
iError
|
エラーのために破棄された受信パケットの数
|
|
|
oエラー
|
エラーのために破棄された送信パケットの数
|
|
|
iDrop
|
エラーがないにもかかわらず破棄された受信パケットの数
|
|
|
oドロップ
|
エラーがないにもかかわらず破棄された送信パケットの数
|
|
|
インタフェースアドレス
|
ネットワークインタフェース
|
ネットワークIPv4アドレスに関連付けられたIPv4インタフェースのインデックス
|
|
アドレス
|
アドレスの読み取り専用のわかりやすい名前
|
|
|
マスク
|
IPv4サブネットマスク
|
|
|
種類
|
IPv4またはインターネットプロトコルバージョン6 (IPv6) アドレスサフィックスの起源 | |
|
フレンドリ名
|
ネットワークアダプタのわかりやすい名前 | |
|
ボリューム情報
|
パス
|
現在のディスクドライブパス |
|
名前
|
ファイルシステム上のディスクドライブの名前 | |
|
システム
|
ファイルシステムの種類 (ファイルアロケーションテーブル (FAT) や新技術ファイルシステム (NTFS) など) | |
|
コンポーネントの最大長
|
ファイルシステムでサポートされるファイル名の最大文字数
|
|
|
ファイルシステムフラグ
|
ファイルシステムに関連付けられたフラグ
|
|
|
ドライブの種類
|
リムーバブル、固定、ソリッドステートドライブ (SSD)、またはハードディスクドライブ (HDD) などのディスクドライブの種類を示す値
|
|
|
システムドライブ環境
|
システムルート
|
Windowsのルートディレクトリ
|
|
システムドライブ
|
Windowsがインストールされているドライブ
|
|
エビデンスデータ
|
説明
|
|
作成時刻 ($FN)
|
新しいテクノロジーファイルシステム (NTFS) に従ってファイルが作成された日時 |
|
パス
|
ファイルの絶対パス
|
|
変更時刻 ($FN)
|
新しいNTFSシステムに基づくファイルの最終変更日時
|
|
アクセス時間 ($FN)
|
新しいNTFSシステムに基づくファイルの最終アクセス日時
|
|
記録時間 ($FN)
|
新しいNTFSシステムに応じてファイルのステータスが最後に変更された日時
|
|
ディレクトリ
|
ファイルが置かれているディレクトリ
|
|
ファイル名
|
ファイルパスの名前部分
|
|
Inode
|
ファイルシステムインデックスノードの数
|
| ファイルID |
ファイルのID値
|
|
UID
|
ファイルの所有者のユーザID
|
|
属性
|
ファイルの属性を定義する文字列
|
|
シンボリックリンク
|
ファイルパスがシンボリックリンクであるかどうかの表示
|
|
種類
|
ファイルの現在のステータス
|
|
作成時刻 ($STD)
|
古いNTFSシステムに基づくファイルの作成日時
|
|
書き込み時間 ($STD)
|
古いNTFSシステムに基づくファイルの最終変更日時 |
|
アクセス時間 ($STD)
|
以前のNTFSシステムに基づくファイルの最終アクセス日時
|
|
記録時間 ($STD)
|
古いNTFSシステムに基づいてファイルのステータスが最後に変更された日時
|
|
ハードリンク
|
ファイルへのハードリンクの数
|
|
ファイルのバージョン
|
ファイルの現在のバージョン
|
|
サイズ
|
ファイルのサイズ (バイト) |
|
エビデンスデータ
|
説明
|
|
プロセス名
|
プロセスの名前
|
|
プロセスイメージ
|
プロセスのイメージファイルのパス |
|
PID
|
プロセスID
|
|
親PID
|
親プロセスのプロセスID |
|
プロセスファイルSHA1
|
プロセスファイルのSHA1ハッシュ
|
|
カタログ署名
|
プロセスのカタログファイルが署名されているかどうかを示します。
|
|
埋め込み署名
|
プロセスに署名が埋め込まれているかどうかを示します。
|
|
ユーザ名
|
処理を実行したユーザアカウント
|
|
ドメイン
|
プロセスを実行したユーザのドメイン
|
|
作成時刻
|
プロセスが作成された時刻
|
|
終了時刻
|
プロセスの終了時刻
|
|
カーネル時間
|
プロセスがカーネルモードで実行された時間 |
|
ユーザ時間
|
ユーザモードでプロセスが実行された時間 |
|
エビデンスの種類
|
エビデンスデータ
|
説明
|
|
自動起動エントリ
|
ソース
|
自動実行エントリのレジストリパスパターン
|
|
ファイルシステムの作成時刻
|
ファイルシステムでエントリが作成された時刻
|
|
|
名前
|
レジストリ内の自動実行エントリに関連付けられているファイルの名前
|
|
|
レジストリパス
|
自動実行エントリのレジストリのフルパス
|
|
|
エントリ名
|
自動実行エントリのレジストリフォルダまたはキー名
|
|
|
実行コマンド
|
エントリの実行に使用される自動実行エントリのレジストリ値 | |
|
パス
|
レジストリから取得したエントリのファイルパス
|
|
|
レジストリ変更時刻
|
レジストリキーまたは関連するエントリの値が最後に変更された時刻
|
|
|
予約タスク
|
名前
|
登録されているタスクの名前
|
|
処理
|
タスクによって実行される実行可能処理
|
|
|
パス
|
実行可能ファイルへのパス
|
|
|
有効
|
タスクが現在有効かどうかを示します。
|
|
|
都道府県
|
登録されたタスクの動作状態
|
|
|
非表示
|
タスクがユーザインタフェースに表示されるかどうかを示します。
|
|
|
前回の実行時刻
|
登録されたタスクが最後に実行された時刻
|
|
|
次回実行時
|
登録されたタスクの次回の実行予定時刻
|
|
|
前回の実行メッセージ
|
タスクの前回の実行が失敗したときに返されるメッセージ
|
|
|
前回の実行コード
|
タスクの前回の実行に成功した場合に返される結果
|
| エビデンスの種類 | エビデンスデータ | 説明 |
|
AmCache
|
記録時間
|
プログラムの実行時間、インストール時間、またはデータアップデート時間
|
|
レジストリ変更時刻
|
レジストリが最後に変更された時刻
|
|
| ShimCache |
記録時間
|
アプリケーションファイルが最後に変更された時刻
|
|
前回のアップデート日時
|
レジストリが最後に変更された時刻
|