Linuxエンドポイントから収集されたプロセス情報カテゴリのデータ、メタデータ、およびエビデンスの説明を表示します。
次の表は、プロセス情報カテゴリのエビデンスデータとメタデータについて説明しています。エビデンスの収集タスクそしてトレンドマイクロ Incident Responseツールキット。これらのエビデンスのエビデンスは、エビデンスレポート。
次のデータは、実行中のプロセスで収集された主要エビデンスで構成されています。
|
エビデンスデータ
|
説明 |
|
ユーザ名
|
プロセスに関連付けられたユーザ名
|
|
PID
|
プロセスID
|
|
コマンドライン
|
プロセスの実行に使用するコマンドライン
|
|
作成日時
|
プロセスが開始された時刻
|
|
親PID
|
親プロセスのプロセスID
|
|
SHA1
|
関連ファイルのSHA1
|
|
カーネル時間
|
カーネルモードで費やされた時間 (ティック)
|
|
ユーザ時間
|
ユーザモードでの経過時間 (ティック)
|
次のメタデータは個々のプロセスに関連付けられており、エビデンスレポート内のタブに表示されます。
 |
注意リストされているすべてのメタデータが収集および表示されるとは限りません。
|
|
[メタデータ] タブ
|
エビデンスデータ
|
説明
|
|
ファイル情報
|
||
|
ソケット接続
|
ローカルアドレス
|
関連付けられたローカルIPアドレス
|
|
ローカルポート
|
関連付けられたローカルTCP/UDPポート番号
|
|
|
プロトコル
|
関連する伝送制御プロトコル
|
|
|
リモートアドレス
|
関連付けられたリモートIPアドレス
|
|
|
リモートポート
|
関連付けられたリモートTCP/UDPポート番号
|
|
|
都道府県
|
接続の状態
|
|
|
作成者UID
|
ソケット作成者のユーザID
|
|
|
関連するスレッド
|
スレッドID
|
スレッドのプロセスID
|
|
コマンドライン
|
実行可能ファイルのファイル名、またはスレッドに関連付けられているコマンド名
|
|
|
現在の状態
|
プロセスの現在の状態を代表的な文字で表したもの
|
|
|
親PID
|
親プロセスのプロセスID
|
|
|
プロセスグループID
|
プロセスに関連付けられたグループID
|
|
|
セッションID
|
プロセスのセッションID
|
|
|
端末プロセスグループIDの制御
|
制御端末のフォアグラウンドプロセスグループのID
|
|
|
ユーザ時間
|
ユーザモードでの経過時間 (ティック)
|
|
|
カーネル時間
|
カーネルモードで費やされた時間 (ティック)
|
|
|
優先度
|
プロセスの優先度の値
|
|
|
ナイスバリュー
|
実際のプロセス優先度の設定に使用される値
|
|
|
開始時刻
|
プロセスの実行時間 (ティック)
|
|
|
仮想メモリ (バイト)
|
使用されている仮想メモリの量 (バイト)
|
|
|
待機チャネル
|
スリープ時のプロセスのカーネルアドレス
|
|
|
リアルタイム優先度の値
|
リアルタイムプロセスに使用される優先度の値
|
|
|
終了コード
|
スレッドの終了ステータスを表す値
|
|
|
環境変数
|
名前
|
プロセス環境の名前
|
|
値
|
プロセス環境の代表値
|
|
|
アクセス可能なライブラリ
|
||
|
ファイルを開く
|
||