次のエビデンスは、インシデントレスポンスのエビデンス収集プレイブック、エビデンスの収集タスク、およびトレンドマイクロ Incident Responseツールキット[プロセス情報] カテゴリの [実行中のプロセス]エビデンスタイプに含まれます。
|
エビデンスデータ
|
説明
|
|
プロセス名
|
プロセスの名前
|
|
プロセスイメージ
|
プロセスのイメージファイルのパス |
|
PID
|
プロセスID
|
|
親PID
|
親プロセスのプロセスID |
|
プロセスファイルSHA1
|
プロセスファイルのSHA1ハッシュ
|
|
カタログ署名
|
プロセスのカタログファイルが署名されているかどうかを示します。
|
|
埋め込み署名
|
プロセスに署名が埋め込まれているかどうかを示します。
|
|
ユーザ名
|
処理を実行したユーザアカウント
|
|
ドメイン
|
プロセスを実行したユーザのドメイン
|
|
作成時刻
|
プロセスが作成された時刻
|
|
終了時刻
|
プロセスの終了時刻
|
|
カーネル時間
|
プロセスがカーネルモードで実行された時間 |
|
ユーザ時間
|
ユーザモードでプロセスが実行された時間 |