次のカテゴリには、インシデントレスポンスのエビデンス収集Playbook、エビデンスの収集タスク、およびTrend Micro Incident Response ToolkitによりWindowsエンドポイントから収集されたエビデンスタイプの説明が含まれます。これらのエビデンスのエビデンスタイプは、エビデンスレポートを確認している際に、エビデンスカテゴリを選択した後にカラムに表示されます。
-
Portable Executable (PE) File Attributes
注意
PEファイルの属性は、複数のエビデンスカテゴリに埋め込まれている場合があります。
| 属性 | 説明 |
|
ファイルパス
|
ファイルの絶対パス
|
|
ファイルサイズ
|
ファイルのサイズ (バイト)
|
|
SHA1
|
ファイルの内容のSHA1暗号化ハッシュ
|
|
ユーザアカウント
|
ファイルに関連付けられているアカウント名またはセキュリティ識別子
|
|
ユーザドメイン
|
ファイルに関連付けられているセキュリティ識別子のドメイン名
|
|
ファイル拡張子
|
ファイルのファイル形式を示すサフィックス
|
|
実ファイルタイプ
|
ファイルヘッダの署名によって決定されるファイルの種類
|
|
署名されたカタログ
|
カタログファイル内のファイルにデジタル署名が含まれているかどうかを示します。
|
|
埋め込み署名済み
|
埋め込まれたPEファイルの署名が検証されているかどうかを示します。
|
|
カタログ署名者
|
カタログファイルのデジタル署名の署名者
|
|
埋め込み署名者
|
埋め込まれたPEファイルのデジタル署名の署名者
|
|
コンパイルされたタイムスタンプ
|
PEファイルがコンパイルされた時刻
|
|
インポートテーブルハッシュ
|
PEファイル内のインポートされた関数のMD5ハッシュ |
|
リンカーのバージョン
|
ファイルリンカーのバージョン番号
|
|
ファイルのバージョン
|
4つの16ビット整数で表されるファイルバージョン番号
|
|
デバッグパス
|
存在するデバッグ情報のファイルパス
|
|
サブシステム
|
イメージの実行に必要なWindowsサブシステム
|
|
会社名
|
ファイルがコンパイルされたときの社内名
|
|
ファイルの説明
|
ファイルがコンパイルされたときのファイルの内部記述
|
|
内部名
|
ファイルの内部名
|
|
作成時刻
|
ファイルシステムでファイルが作成された時刻
|
|
時刻の変更
|
ファイルシステムでファイルが最後に変更された時刻
|
|
アクセス時間
|
ファイルシステムでファイルが最後にアクセスされた時刻
|
|
エビデンスの種類
|
エビデンスデータ
|
説明
|
|
システム情報
|
ホスト名
|
エンドポイントのDNSホスト名
|
|
UUID
|
エンドポイントのハードウェアプロファイル用にシステムによって生成されたGUIDの文字列
|
|
|
CPUの種類
|
システムプロセッサのアーキテクチャ
|
|
|
CPUのブランド
|
現在サポートされているプロセッサのブランド
|
|
|
CPUの物理コア
|
CPUの物理コア数
|
|
|
CPU論理コア
|
CPUの論理コア数
|
|
|
CPUマイクロコード
|
CPUファームウェアとして機能する中間コード | |
| 物理メモリ (KB) |
KBで表示される物理メモリの量
|
|
|
ハードウェアベンダー
|
システムのマザーボードの製造元 | |
|
ハードウェアモデル
|
エンドポイントのデバイスモデル | |
|
ハードウェアシリアル
|
エンドポイントハードウェアのソフトウェアコンポーネントのシリアル番号 | |
|
コンピュータ名
|
エンドポイントのNetBIOS名
|
|
|
OSバージョン
|
名前
|
OSディストリビューションまたは製品名
|
|
インストール時間
|
エンドポイントにOSがインストールされた日付
|
|
|
バージョン
|
エンドポイントで実行されているプライマリOSのバージョン
|
|
|
Major
|
現在のOSのメジャーリリースバージョン
|
|
|
Minor
|
現在のOSのマイナーリリースバージョン | |
|
ビルド
|
ビルド固有またはバリアントのOSバージョン識別子 | |
|
プラットフォーム
|
OSプラットフォームまたはID
|
|
|
のようなプラットフォーム
|
密接に関連するプラットフォーム
|
|
|
コードネーム
|
OSバージョンコード名 | |
|
アーチ
|
OSアーキテクチャ | |
|
インタフェースの詳細
|
MAC
|
エンドポイントネットワークアダプタのメディアアクセス制御(MAC) アドレス
|
|
最終変更時刻
|
デバイスの最終変更時刻 | |
|
ネットワークインタフェース
|
ネットワークIPv4アドレスに関連付けられたIPv4インタフェースのインデックス
|
|
|
MTU
|
最大転送ユニット (MTU) サイズ (バイト)
|
|
|
メトリック
|
ネットワークアダプタアドレスのIPv4インタフェースメトリック
|
|
|
フラグ
|
ネットワークアダプタの設定を指定するフラグ | |
|
衝突
|
検出されたパケット衝突の数 | |
|
フレンドリ名
|
ネットワークアダプタのわかりやすい名前 | |
|
説明
|
ネットワークアダプタの説明
|
|
|
製造元
|
ネットワークアダプタの製造元
|
|
|
接続ID
|
[コントロールパネルのネットワーク接続] セクションに表示されるネットワーク接続の名前
|
|
|
接続ステータス
|
ネットワークアダプタのネットワーク接続の状態 | |
|
有効
|
アダプタが有効かどうかの表示
|
|
| 物理アダプタ | アダプタが物理アダプタかどうかを示します。 | |
|
速度
|
現在の帯域幅の推定 (ビット/秒)、または推定できない場合の公称帯域幅 | |
|
サービス
|
ネットワークアダプタのサービス名
|
|
| DHCP有効 | DHCP v4が有効かどうかを示します。 | |
|
DHCPリースの期限切れ
|
DHCPサーバでエンドポイントに割り当てられたリースIPアドレスの有効期限 | |
|
DHCPリースを取得しました
|
リースされたIPアドレスがDHCPサーバを介してエンドポイントに割り当てられた日時 | |
|
DHCPサーバ
|
DHCPサーバのIPアドレス
|
|
|
DNSドメイン
|
組織のドメイン名とサフィックス
|
|
|
DNSドメインサフィックスの検索順序
|
ドメイン名解決時にホスト名の末尾に適用されるDNSドメインサフィックスのリスト
|
|
|
DNSホスト名
|
認証用のエンドポイントの識別に使用する名前
|
|
|
DNSサーバの検索順序
|
DNSサーバのクエリ時に使用されるサーバIPアドレスのリスト
|
|
|
iパケット
|
インタフェースが受信したユニキャストパケット数 | |
|
oパケット
|
インタフェース経由で送信されたデータのオクテット数 | |
|
iBytes
|
インタフェースが受信したデータのオクテット数
|
|
|
バイト数
|
インタフェース経由で送信されたユニキャストパケット数
|
|
|
iError
|
エラーのために破棄された受信パケットの数
|
|
|
oエラー
|
エラーのために破棄された送信パケットの数
|
|
|
iDrop
|
エラーがないにもかかわらず破棄された受信パケットの数
|
|
|
oドロップ
|
エラーがないにもかかわらず破棄された送信パケットの数
|
|
|
インタフェースアドレス
|
ネットワークインタフェース
|
ネットワークIPv4アドレスに関連付けられたIPv4インタフェースのインデックス
|
|
アドレス
|
アドレスの読み取り専用のわかりやすい名前
|
|
|
マスク
|
IPv4サブネットマスク
|
|
|
種類
|
IPv4またはIPv6アドレスサフィックスの送信元 | |
|
フレンドリ名
|
ネットワークアダプタのわかりやすい名前 | |
|
ボリューム情報
|
パス
|
現在のディスクドライブパス |
|
名前
|
ファイルシステム上のディスクドライブの名前 | |
|
システム
|
ファイルシステムの種類 (FAT、NTFSなど) | |
|
コンポーネントの最大長
|
ファイルシステムでサポートされるファイル名の最大文字数
|
|
|
ファイルシステムフラグ
|
ファイルシステムに関連付けられたフラグ
|
|
|
ドライブの種類
|
ディスクドライブの種類を示す値 (リムーバブル、固定、SSD、CD-ROMなど)
|
|
|
システムドライブ環境
|
システムルート
|
Windowsのルートディレクトリ
|
|
システムドライブ
|
Windowsがインストールされているドライブ
|
|
エビデンスデータ
|
説明
|
|
作成時刻 ($FN)
|
新しいNTFSシステムに基づくファイルの作成日時 |
|
パス
|
ファイルの絶対パス
|
|
変更時刻 ($FN)
|
新しいNTFSシステムに基づくファイルの最終変更日時
|
|
アクセス時間 ($FN)
|
新しいNTFSシステムに基づくファイルの最終アクセス日時
|
|
記録時間 ($FN)
|
新しいNTFSシステムに応じてファイルのステータスが最後に変更された日時
|
|
ディレクトリ
|
ファイルが置かれているディレクトリ
|
|
ファイル名
|
ファイルパスの名前部分
|
|
Inode
|
ファイルシステムインデックスノードの数
|
| ファイルID |
ファイルのID値
|
|
UID
|
ファイルの所有者のユーザID
|
|
属性
|
ファイルの属性を定義する文字列
|
|
シンボリックリンク
|
ファイルパスがシンボリックリンクであるかどうかの表示
|
|
種類
|
ファイルの現在のステータス
|
|
作成時刻 ($STD)
|
古いNTFSシステムに基づくファイルの作成日時
|
|
書き込み時間 ($STD)
|
古いNTFSシステムに基づくファイルの最終変更日時 |
|
アクセス時間 ($STD)
|
以前のNTFSシステムに基づくファイルの最終アクセス日時
|
|
記録時間 ($STD)
|
古いNTFSシステムに基づいてファイルのステータスが最後に変更された日時
|
|
ハードリンク
|
ファイルへのハードリンクの数
|
|
ファイルのバージョン
|
ファイルの現在のバージョン
|
|
サイズ
|
ファイルのサイズ (バイト) |
|
エビデンスデータ
|
説明
|
|
プロセス名
|
プロセスの名前
|
|
プロセスイメージ
|
プロセスのイメージファイルのパス |
|
PID
|
プロセスID
|
|
親PID
|
親プロセスのプロセスID |
|
プロセスファイルSHA1
|
プロセスファイルのSHA1ハッシュ
|
|
カタログ署名
|
プロセスのカタログファイルが署名されているかどうかを示します。
|
|
埋め込み署名
|
プロセスに署名が埋め込まれているかどうかを示します。
|
|
ユーザ名
|
処理を実行したユーザアカウント
|
|
ドメイン
|
プロセスを実行したユーザのドメイン
|
|
作成時刻
|
プロセスが作成された時刻
|
|
終了時刻
|
プロセスの終了時刻
|
|
カーネル時間
|
プロセスがカーネルモードで実行された時間 |
|
ユーザ時間
|
ユーザモードでプロセスが実行された時間 |
|
エビデンスの種類
|
エビデンスデータ
|
説明
|
|
自動起動エントリ
|
ソース
|
自動実行エントリのレジストリパスパターン
|
|
ファイルシステムの作成時刻
|
ファイルシステムでエントリが作成された時刻
|
|
|
名前
|
レジストリ内の自動実行エントリに関連付けられているファイルの名前
|
|
|
レジストリパス
|
自動実行エントリのレジストリのフルパス
|
|
|
エントリ名
|
自動実行エントリのレジストリフォルダまたはキー名
|
|
|
実行コマンド
|
エントリの実行に使用される自動実行エントリのレジストリ値 | |
|
パス
|
レジストリから取得したエントリのファイルパス
|
|
|
レジストリ変更時刻
|
レジストリキーまたは関連するエントリの値が最後に変更された時刻
|
|
|
予約タスク
|
名前
|
登録されているタスクの名前
|
|
処理
|
タスクによって実行される実行可能処理
|
|
|
パス
|
実行可能ファイルへのパス
|
|
|
有効
|
タスクが現在有効かどうかを示します。
|
|
|
都道府県
|
登録されたタスクの動作状態
|
|
|
非表示
|
タスクがユーザインタフェースに表示されるかどうかを示します。
|
|
|
前回の実行時刻
|
登録されたタスクが最後に実行された時刻
|
|
|
次回実行時
|
登録されたタスクの次回の実行予定時刻
|
|
|
前回の実行メッセージ
|
タスクの前回の実行が失敗したときに返されるメッセージ
|
|
|
前回の実行コード
|
タスクの前回の実行に成功した場合に返される結果
|
| エビデンスの種類 | エビデンスデータ | 説明 |
|
AmCache
|
記録時間
|
プログラムの実行時間、インストール時間、またはデータアップデート時間
|
|
レジストリ変更時刻
|
レジストリが最後に変更された時刻
|
|
| ShimCache |
記録時間
|
アプリケーションファイルが最後に変更された時刻
|
|
前回のアップデート日時
|
レジストリが最後に変更された時刻
|