4688: 新しいプロセスが作成されました。4688(S): A new process has been created.

適用対象Applies to

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016
Event 4688 illustration

サブカテゴリ: 監査プロセスの作成Subcategory: Audit Process Creation

イベントの説明:Event Description:

このイベントは、新しいプロセスが開始されるたびに生成されます。This event generates every time a new process starts.

**** 注 推奨事項については、「このイベントのセキュリティ監視に関する推奨事項」を参照してください。Note  For recommendations, see Security Monitoring Recommendations for this event.


イベント XML:Event XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4688</EventID> 
 <Version>2</Version> 
 <Level>0</Level> 
 <Task>13312</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-11-12T02:24:52.377352500Z" /> 
 <EventRecordID>2814</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="4" ThreadID="400" /> 
 <Channel>Security</Channel> 
 <Computer>WIN-GG82ULGC9GO.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">WIN-GG82ULGC9GO$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 <Data Name="NewProcessId">0x2bc</Data> 
 <Data Name="NewProcessName">C:\\Windows\\System32\\rundll32.exe</Data> 
 <Data Name="TokenElevationType">%%1938</Data> 
 <Data Name="ProcessId">0xe74</Data> 
 <Data Name="CommandLine" /> 
 <Data Name="TargetUserSid">S-1-5-21-1377283216-344919071-3415362939-1104</Data> 
 <Data Name="TargetUserName">dadmin</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetLogonId">0x4a5af0</Data> 
 <Data Name="ParentProcessName">C:\\Windows\\explorer.exe</Data> 
 <Data Name="MandatoryLabel">S-1-16-8192</Data> 
 </EventData>
</Event>

必要なサーバーの役割:-.Required Server Roles: None.

OS の最小バージョン: Windows Server 2008、Windows Vista。Minimum OS Version: Windows Server 2008, Windows Vista.

イベントのバージョン:Event Versions:

  • 0-windows Server 2008、Windows Vista。0 - Windows Server 2008, Windows Vista.

  • 1-windows Server 2012 R2、Windows 8.1。1 - Windows Server 2012 R2, Windows 8.1.

    • "プロセスコマンドライン" フィールドが追加されました。Added “Process Command Line” field.
  • 2-Windows 10。2 - Windows 10.

    • 件名Creator subjectに名前が変更されました。Subject renamed to Creator Subject.

    • "対象の件名" セクションが追加されました。Added “Target Subject” section.

    • "必須ラベル" フィールドが追加されました。Added “Mandatory Label” field.

    • "Creator Process Name" フィールドが追加されました。Added “Creator Process Name” field.

フィールドの説明:Field Descriptions:

Creator Subject \ [バージョン0と1– subject] の値 :Creator Subject [Value for versions 0 and 1 – Subject]:

  • セキュリティ ID \ [TYPE = SID ]: "プロセスの作成" 操作を要求したアカウントの SID。Security ID [Type = SID]: SID of account that requested the “create process” operation. イベントビューアーが自動的に Sid の解決を試み、アカウント名を表示します。Event Viewer automatically tries to resolve SIDs and show the account name. SID を解決できない場合、イベントにソースデータが表示されます。If the SID cannot be resolved, you will see the source data in the event.

注:  セキュリティ識別子 (SID) は、トラスティ (セキュリティプリンシパル) を識別するために使用される可変長の一意の値です。Note  A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). 各アカウントには、Active Directory ドメインコントローラーなどの機関によって発行され、セキュリティデータベースに格納されている、固有の SID があります。Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセストークンにそれを配置します。Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. システムは、アクセストークン内の SID を使って、Windows セキュリティとの以降のすべての操作でユーザーを識別します。The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. SID がユーザーまたはグループの一意の識別子として使用されている場合は、もう一度使用して別のユーザーまたはグループを識別することはできません。When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Sid の詳細については、「セキュリティ識別子」を参照してください。For more information about SIDs, see Security identifiers.

  • アカウント名\ [Type = UnicodeString ]: "プロセスの作成" 操作を要求したアカウントの名前。Account Name [Type = UnicodeString]: the name of the account that requested the “create process” operation.

  • アカウントドメイン\ [Type = UnicodeString ]: サブジェクトのドメインまたはコンピューター名。Account Domain [Type = UnicodeString]: subject’s domain or computer name. 次のような形式があります。Formats vary, and include the following:

    • ドメイン NETBIOS 名の例: CONTOSODomain NETBIOS name example: CONTOSO

    • 小文字の完全なドメイン名: contoso. ローカルLowercase full domain name: contoso.local

    • 大文字の完全なドメイン名: CONTOSO。地元のUppercase full domain name: CONTOSO.LOCAL

    • ローカルサービスや ANONYMOUS LOGON などの既知のセキュリティプリンシパルの場合、このフィールドの値は "NT AUTHORITY" です。For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.

    • ローカルユーザーアカウントの場合、このフィールドには、このアカウントが属しているコンピューターまたはデバイスの名前が格納されます。たとえば、"Win81" です。For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.

  • ログオン id \ [Type = HexInt64 ]: このイベントと、同じログオン id を含む可能性のある最近のイベント (たとえば4624、アカウントが正常にログオンしました) と関連付けるために役立つ16進数の値。Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4624: An account was successfully logged on.”

対象のサブジェクト\ [バージョン 2 ]:Target Subject [Version 2]:

注:  このイベントには、プロセス作成者のプリンシパルが含まれていますが、ターゲットコンテキストが creator コンテキストと異なる場合は必ずしも十分であるとは限りません。Note  This event includes the principal of the process creator, but this is not always sufficient if the target context is different from the creator context. この場合、プロセスの終了イベントで指定された件名は、両方のイベントが同じプロセス ID を参照している場合でも、プロセス作成イベントの subject と一致しません。In that situation, the subject specified in the process termination event does not match the subject in the process creation event even though both events refer to the same process ID. そのため、作成者とターゲットが同じログオンを共有していない場合は、プロセスの作成者に加えてターゲットプリンシパルも含めます。Therefore, in addition to including the creator of the process, we will also include the target principal when the creator and target do not share the same logon.

  • セキュリティ ID \ [TYPE = SID ] \ [バージョン 2 ]: ターゲットアカウントの SID。Security ID [Type = SID] [Version 2]: SID of target account. イベントビューアーが自動的に Sid の解決を試み、アカウント名を表示します。Event Viewer automatically tries to resolve SIDs and show the account name. SID を解決できない場合、イベントにソースデータが表示されます。If the SID cannot be resolved, you will see the source data in the event.

注:  セキュリティ識別子 (SID) は、トラスティ (セキュリティプリンシパル) を識別するために使用される可変長の一意の値です。Note  A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). 各アカウントには、Active Directory ドメインコントローラーなどの機関によって発行され、セキュリティデータベースに格納されている、固有の SID があります。Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセストークンにそれを配置します。Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. システムは、アクセストークン内の SID を使って、Windows セキュリティとの以降のすべての操作でユーザーを識別します。The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. SID がユーザーまたはグループの一意の識別子として使用されている場合は、もう一度使用して別のユーザーまたはグループを識別することはできません。When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Sid の詳細については、「セキュリティ識別子」を参照してください。For more information about SIDs, see Security identifiers.

  • アカウント名\ [Type = UnicodeString ] \ [バージョン 2 ]: ターゲットアカウントの名前。Account Name [Type = UnicodeString] [Version 2]: the name of the target account.

  • アカウントドメイン\ [Type = UnicodeString ] \ [バージョン 2 ]: ターゲットアカウントのドメインまたはコンピューター名。Account Domain [Type = UnicodeString] [Version 2]: target account’s domain or computer name. 次のような形式があります。Formats vary, and include the following:

    • ドメイン NETBIOS 名の例: CONTOSODomain NETBIOS name example: CONTOSO

    • 小文字の完全なドメイン名: contoso. ローカルLowercase full domain name: contoso.local

    • 大文字の完全なドメイン名: CONTOSO。地元のUppercase full domain name: CONTOSO.LOCAL

    • ローカルサービスや ANONYMOUS LOGON などの既知のセキュリティプリンシパルの場合、このフィールドの値は "NT AUTHORITY" です。For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.

    • ローカルユーザーアカウントの場合、このフィールドには、このアカウントが属しているコンピューターまたはデバイスの名前が格納されます。たとえば、"Win81" です。For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.

  • ログオン id \ [Type = HexInt64 ] \ [バージョン 2 ]: このイベントと、同じログオン ID を含む可能性のある最近のイベント (たとえば4624、アカウントが正常にログインしました) と関連付けるのに役立つ16進数の値。Logon ID [Type = HexInt64] [Version 2]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4624: An account was successfully logged on.”

プロセス情報:Process Information:

  • 新しいプロセス id \ [Type = Pointer ]: 新しいプロセスの16進数のプロセス id。New Process ID [Type = Pointer]: hexadecimal Process ID of the new process. プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティングシステムによって使用される番号です。Process ID (PID) is a number used by the operating system to uniquely identify an active process. 特定のプロセスの PID を表示するには、たとえば、タスクマネージャー ([詳細] タブの [PID] 列) を使用します。To see the PID for a specific process you can, for example, use Task Manager (Details tab, PID column):

    Task manager illustration

16進数を10進数に変換すると、タスクマネージャーの値と比較できます。If you convert the hexadecimal value to decimal, you can compare it to the values in Task Manager.

  • 新しいプロセス名\ [Type = UnicodeString ]: 完全なパスと、新しいプロセスの実行可能ファイルの名前。New Process Name [Type = UnicodeString]: full path and the name of the executable for the new process.

  • トークンの標高の種類\ [Type = UnicodeString ] * *: * *Token Elevation Type [Type = UnicodeString]**: **

    • TokenElevationTypeDefault (1):「1」は、権限が削除されているか、グループが無効になっている完全なトークンです。TokenElevationTypeDefault (1): Type 1 is a full token with no privileges removed or groups disabled. 完全なトークンは、ユーザーアカウント制御が無効になっている場合、またはユーザーが組み込みの管理者アカウント (既定では UAC を無効にしている場合)、サービスアカウント、またはローカルシステムアカウントの場合にのみ使用されます。A full token is only used if User Account Control is disabled or if the user is the built-in Administrator account (for which UAC disabled by default), service account or local system account.

    • TokenElevationTypeFull (2): タイプ2は、権限が削除されているか、グループが無効になっている昇格されたトークンです。TokenElevationTypeFull (2): Type 2 is an elevated token with no privileges removed or groups disabled. 昇格されたトークンは、ユーザーアカウント制御が有効であり、ユーザーが [実行者として実行] を使用してプログラムを開始することを選んだ場合に使用されます。An elevated token is used when User Account Control is enabled and the user chooses to start the program using Run as administrator. 昇格されたトークンは、常に管理者特権が必要となるように構成されているアプリケーション、または常に最大特権が必要であり、ユーザーが管理者グループのメンバーである場合にも使用されます。An elevated token is also used when an application is configured to always require administrative privilege or to always require maximum privilege, and the user is a member of the Administrators group.

    • TokenElevationTypeLimited (3):「3」と入力すると、管理者権限が削除され、管理グループが無効になります。TokenElevationTypeLimited (3): Type 3 is a limited token with administrative privileges removed and administrative groups disabled. 制限付きトークンは、ユーザーアカウント制御が有効になっている場合に使用されます。アプリケーションには管理者特権は必要ありません。また、ユーザーは [実行] 管理者としてプログラムを開始することを選択しません。The limited token is used when User Account Control is enabled, the application does not require administrative privilege, and the user does not choose to start the program using Run as administrator.

  • 必須ラベル\ [バージョン 2 ] \ [TYPE = SID ]: 新しいプロセスに割り当てられている整合性ラベルの SID。Mandatory Label [Version 2] [Type = SID]: SID of integrity label which was assigned to the new process. 次のいずれかの値を指定できます。Can have one of the following values:

SIDSID RIDRID RID ラベルRID label 意味Meaning
S-1-16-0S-1-16-0 0x00000000 SECURITY_MANDATORY_UNTRUSTED_RIDSECURITY_MANDATORY_UNTRUSTED_RID さ.Untrusted.
S-1-16-4096S-1-16-4096 0x000010000x00001000 SECURITY_MANDATORY_LOW_RIDSECURITY_MANDATORY_LOW_RID 低整合性。Low integrity.
S-1-16-8192S-1-16-8192 0x000020000x00002000 SECURITY_MANDATORY_MEDIUM_RIDSECURITY_MANDATORY_MEDIUM_RID 中程度の完全性。Medium integrity.
S-1-16-8448S-1-16-8448 0x000021000x00002100 SECURITY_MANDATORY_MEDIUM_PLUS_RIDSECURITY_MANDATORY_MEDIUM_PLUS_RID Medium 高の完全性。Medium high integrity.
S-1-16-12288S-1-16-12288 0X000030000X00003000 SECURITY_MANDATORY_HIGH_RIDSECURITY_MANDATORY_HIGH_RID 高整合性。High integrity.
S-1-16-16384S-1-16-16384 0x000040000x00004000 SECURITY_MANDATORY_SYSTEM_RIDSECURITY_MANDATORY_SYSTEM_RID システムの整合性。System integrity.
S-1-16-20480S-1-16-20480 0x000050000x00005000 SECURITY_MANDATORY_PROTECTED_PROCESS_RIDSECURITY_MANDATORY_PROTECTED_PROCESS_RID 保護されたプロセス。Protected process.
  • Creator プロセス id \ [Type = Pointer ]: 新しいプロセスを実行したプロセスの16進数プロセス id。Creator Process ID [Type = Pointer]: hexadecimal Process ID of the process which ran the new process. 16進数を10進数に変換すると、タスクマネージャーの値と比較できます。If you convert the hexadecimal value to decimal, you can compare it to the values in Task Manager.

また、このプロセス ID を他のイベントのプロセス ID と関連付けることもできます。たとえば、"4688: 新しいプロセスが作成されました" というプロセス情報は、新しいプロセス idです。You can also correlate this process ID with a process ID in other events, for example, “4688: A new process has been created” Process Information\New Process ID.

  • Creator プロセス名\ [バージョン 2 ] \ [Type = UnicodeString ]: 完全なパスと、プロセスの実行可能ファイルの名前。Creator Process Name [Version 2] [Type = UnicodeString]: full path and the name of the executable for the process.

  • プロセスコマンドライン\ [バージョン 1, 2 ] \ [Type = UnicodeString ]: 指定した実行可能ファイル名と引数の名前が含まれています。Process Command Line [Version 1, 2] [Type = UnicodeString]: contains the name of executable and arguments which were passed to it. プロセス作成イベントにコマンドラインを含めるには、"管理 Templates\System\Audit プロセスのセットアップ \ 含めるコマンドラインをプロセス作成イベントに含める" というグループポリシーを有効にする必要があります。You must enable “Administrative Templates\System\Audit Process Creation\Include command line in process creation events” group policy to include command line in process creation events:

    Group policy illustration

    既定では、コマンドラインフィールドは空です。By default Process Command Line field is empty.

セキュリティの監視に関する推奨事項Security Monitoring Recommendations

4688の場合: 新しいプロセスが作成されました。For 4688(S): A new process has been created.

必要な監視の種類Type of monitoring required 推奨事項Recommendation
高価値アカウント: 各操作を監視する必要がある、高い値のドメインまたはローカルアカウントを持っている可能性があります。High-value accounts: You might have high-value domain or local accounts for which you need to monitor each action.
高価値アカウントの例としては、データベース管理者、組み込みのローカル管理者アカウント、ドメイン管理者、サービスアカウント、ドメインコントローラーアカウントなどがあります。Examples of high-value accounts are database administrators, built-in local administrator account, domain administrators, service accounts, domain controller accounts and so on.
高い値のアカウントまたはアカウントに対応する "Creator subject¥ SECURITY id" または "Target SUBJECT¥ security id " のすべてのイベントを監視します。Monitor all events with the “Creator Subject\Security ID” or “Target Subject\Security ID” that corresponds to the high-value account or accounts.
異常または悪質な操作: 異常を検出したり、悪意のある操作を監視したりするための特定の要件がある場合があります。Anomalies or malicious actions: You might have specific requirements for detecting anomalies or monitoring potential malicious actions. たとえば、稼働時間以外のアカウントの使用を監視する必要がある場合があります。For example, you might need to monitor for use of an account outside of working hours. 異常または悪意のある操作を監視する場合は、 "Creator subject¥ SECURITY id " または "Target SUBJECT¥ security id" (その他の情報を含む) を使用して、特定のアカウントがどのように使用されているかを監視します。When you monitor for anomalies or malicious actions, use the “Creator Subject\Security ID” or “Target Subject\Security ID” (with other information) to monitor how or when a particular account is being used.
非アクティブなアカウント: 非アクティブ、無効、またはゲストアカウント、または使わないその他のアカウントがある可能性があります。Non-active accounts: You might have non-active, disabled, or guest accounts, or other accounts that should never be used. 使用しないアカウントに対応する "Creator Subject\ SECURITY id" または "Target SUBJECT¥ security id " のすべてのイベントを監視します。Monitor all events with the “Creator Subject\Security ID” or “Target Subject\Security ID” that corresponds to the accounts that should never be used.
アカウントのホワイトリスト: 特定のイベントに対応するアクションを実行できるのは、特定の id を持つアカウントである場合があります。Account whitelist: You might have a specific whitelist of accounts that are the only ones allowed to perform actions corresponding to particular events. このイベントが "ホワイトリストのみ" アクションに対応する場合は、ホワイトリスト以外のアカウントの "Creator subject¥ SECURITY id""Target SUBJECT¥ security id " を確認します。If this event corresponds to a “whitelist-only” action, review the “Creator Subject\Security ID” and “Target Subject\Security ID” for accounts that are outside the whitelist.
さまざまな種類のアカウント: 特定の処理が特定のアカウントの種類 (たとえば、local アカウント、ドメインアカウント、コンピューターアカウント、従業員アカウントなど) でのみ実行されるようにすることができます。Accounts of different types: You might want to ensure that certain actions are performed only by certain account types, for example, local or domain account, machine or user account, vendor or employee account, and so on. 特定のアカウントの種類について監視するアクションに対応するイベントの場合は、 "Creator subject¥ SECURITY id" または "Target SUBJECT¥ security id " を確認して、アカウントの種類が予期されているかどうかを確認します。If this event corresponds to an action you want to monitor for certain account types, review the “Creator Subject\Security ID” or “Target Subject\Security ID” to see whether the account type is as expected.
外部アカウント: 別のドメインからのアカウント、または特定の操作を実行することを許可されていない "外部" アカウント (特定の特定のイベントで表される) を監視している可能性があります。External accounts: You might be monitoring accounts from another domain, or “external” accounts that are not allowed to perform certain actions (represented by certain specific events). 別のドメインまたは "外部" アカウントのアカウントに対応する " Creator Subject\ SECURITY id" または "Target SUBJECT¥ security id " の特定のイベントを監視します。Monitor the specific events for the “Creator Subject\Security ID” or “Target Subject\Security ID” corresponding to accounts from another domain or “external” accounts.
制限付き使用のコンピューターまたはデバイス: 特定のユーザー (アカウント) が通常操作を実行しない特定のコンピューター、コンピューター、またはデバイスがある場合があります。Restricted-use computers or devices: You might have certain computers, machines, or devices on which certain people (accounts) should not typically perform any actions. 対象のコンピューター (またはその他のターゲットデバイス) を監視して、 "Creator SUBJECT¥セキュリティ id" または "ターゲット subject\ セキュリティ id " によって実行された操作を確認します。Monitor the target Computer: (or other target device) for actions performed by the “Creator Subject\Security ID” or “Target Subject\Security ID” that you are concerned about.
アカウントの名前付け規則: 組織によっては、アカウント名の特定の命名規則がある場合があります。Account naming conventions: Your organization might have specific naming conventions for account names. 名前付け規則に準拠していない名前については、 "Creator subject¥ SECURITY id" または "Target SUBJECT¥ security id " を監視します。Monitor “Creator Subject\Security ID” or “Target Subject\Security ID” for names that don’t comply with naming conventions.
  • このイベントで報告されるプロセスについて事前に定義された "新しい****プロセス名" または "creator process name" を使っている場合は、すべてのイベントを "新しい****プロセス名" または "creator process name" に定義されている [指定の値に等しくない] で監視します。値.If you have a pre-defined “New Process Name” or “Creator Process Name” for the process reported in this event, monitor all events with “New Process Name” or “Creator Process Name” not equal to your defined value.

  • 監視できるのは、"新しい****プロセス名" または "Creator process name" が標準のフォルダー (たとえば、 System32またはProgram Filesに含まれていない) に含まれていないか、または制限付きのフォルダー (たとえば、[一時インターネット]) に含まれているかどうかを確認することができます。 ファイル)。You can monitor to see if “New Process Name” or “Creator Process Name” is not in a standard folder (for example, not in System32 or Program Files) or is in a restricted folder (for example, Temporary Internet Files).

  • [プロセス名] (たとえば、"mimikatz" や "cain .exe" など) で、限定されたサブ文字列または単語の定義済みリストがある場合は、"新しい****プロセス名" または "Creator process name" でこれらのサブストリングを確認します。If you have a pre-defined list of restricted substrings or words in process names (for example “mimikatz” or “cain.exe”), check for these substrings in “New Process Name” or “Creator Process Name.”

  • 作成者のセキュリティid またはターゲットsubject\ セキュリティ idでローカルアカウントを使用して、プロセスが実行されることは珍しくありません。It can be unusual for a process to run using a local account in either Creator Subject\Security ID or in Target Subject\Security ID.

  • アカウント名に $記号が含まれていない場合など、 subject \ Security IDに実際のユーザーアカウントが表示される場合は、トークンの昇格の種類 (TokenElevationTypeDefault) を監視します。Monitor for Token Elevation Type with value TokenElevationTypeDefault (1) when Subject\Security ID lists a real user account, for example when Account Name doesn’t contain the $ symbol. これは通常、何らかの理由で、このアカウントの UAC が無効になっていることを意味します。Typically this means that UAC is disabled for this account for some reason.

  • 標準のワークステーションでのTokenElevationTypeDefault (2)トークン昇格の種類を監視します。 subject\ Security IDに実際のユーザーアカウントが表示されている場合 (アカウント名に $ 記号.Monitor for Token Elevation Type with value TokenElevationTypeDefault (2) on standard workstations, when Subject\Security ID lists a real user account, for example when Account Name doesn’t contain the $ symbol. これは、ユーザーが管理者権限を使用してプログラムを実行したことを意味します。This means that a user ran a program using administrative privileges.

  • また、標準のワークステーションで、 TokenElevationTypeDefault (2) という値でトークンの昇格の種類を監視することもできます。ただし、コンピューターオブジェクトは、イベントが発生したコンピューターとは異なります。You can also monitor for Token Elevation Type with value TokenElevationTypeDefault (2) on standard workstations, when a computer object was used to run the process, but that computer object is not the same computer where the event occurs.

  • 特定の必須ラベル (たとえば、1-16-20480 (保護されたプロセス)) ですべての新しいプロセスを監視する必要がある場合は、このイベントの "必須ラベル" を確認します。If you need to monitor all new processes with a specific Mandatory Label, for example S-1-16-20480 (Protected process), check the “Mandatory Label” in this event.