2 テストショット2
2.17 Malformed HTR Request (侵入)
2.17.1 RealSecure Network Engine 1 ログ 検出なし
2.17.2 RealSecure Network Engine 2 ログ 検出なし
2.17.3 FireWall-1 ログ
2.17.4 RealSecure System Agent ログ
“No” “Date” “Time” “Inter.” “Origin” “Type” Action” “Service” “Source” “Destination” “Proto.” “Rule” “S_Port” “User” “SrcKeyID” “DstKeyID” “XlateSrc”
XlateDst” “XLateSPort” “XlateDPort” “Info.”
"1438" "21Apr2000" "16:15:55" "nei0" "fw" "log" "accept" "99" "attack1" "dmz-www" "tcp" "6" "2732" "" "" "" "" "" "" "" " len 60"
ID,EventDate,EventName,ProtocolID,SourcePort,DestinationPort,SourcePortName,DestinationPortName,SourceAddress,DestinationAddress,SourceAddress Name,DestinationAddressName,TCPFlags,ICMPType,ICMPCode,EventPriority,KillActionSpecified,SourceEthernetAddr,SourceEthernetVendor,Destination EthernetAddr,DestinationEthernetVendor,RawDataLen,RawData,DecodePairCount,EngineIP,Pulled,EngineType
63,2000/04/21 16:18:39,Changes_to_important_files,254,65535,65535,65535,65535,16777343,51685568,127.0.0.1,192.168.20.3,,,,1,FALSE,00:00:00:00:00:00,,0 0:00:00:00:00:00,,0,,9,192.168.20.3,FALSE,1
64,2000/04/21 16:20:19,Program_execution_started,254,65535,65535,65535,65535,16777343,51685568,127.0.0.1,192.168.20.3,,,,3,FALSE,00:00:00:00:00:00,,0 0:00:00:00:00:00,,0,,7,192.168.20.3,FALSE,1
65,2000/04/21 16:20:24,Program_exited,254,65535,65535,65535,65535,16777343,51685568,127.0.0.1,192.168.20.3,,,,3,FALSE,00:00:00:00:00:00,,00:00:00:00:0 0:00,,0,,6,192.168.20.3,FALSE,1
66,2000/04/21 16:21:09,Program_execution_started,254,65535,65535,65535,65535,16777343,51685568,127.0.0.1,192.168.20.3,,,,3,FALSE,00:00:00:00:00:00,,0 0:00:00:00:00:00,,0,,7,192.168.20.3,FALSE,1
67,2000/04/21 16:21:14,Program_exited,254,65535,65535,65535,65535,16777343,51685568,127.0.0.1,192.168.20.3,,,,3,FALSE,00:00:00:00:00:00,,00:00:00:00:0 0:00,,0,,6,192.168.20.3,FALSE,1
68,2000/04/21 16:21:25,Program_execution_started,254,65535,65535,65535,65535,16777343,51685568,127.0.0.1,192.168.20.3,,,,3,FALSE,00:00:00:00:00:00,,0 0:00:00:00:00:00,,0,,7,192.168.20.3,FALSE,1
69,2000/04/21 16:21:30,Program_exited,254,65535,65535,65535,65535,16777343,51685568,127.0.0.1,192.168.20.3,,,,3,FALSE,00:00:00:00:00:00,,00:00:00:00:0 0:00,,0,,6,192.168.20.3,FALSE,1
70,2000/04/21 16:23:41,Program_exited,254,65535,65535,65535,65535,16777343,51685568,127.0.0.1,192.168.20.3,,,,3,FALSE,00:00:00:00:00:00,,00:00:00:00:0 0:00,,0,,6,192.168.20.3,FALSE,1
71,2000/04/21 16:23:41,Program_exited,254,65535,65535,65535,65535,16777343,51685568,127.0.0.1,192.168.20.3,,,,3,FALSE,00:00:00:00:00:00,,00:00:00:00:0 0:00,,0,,6,192.168.20.3,FALSE,1
2.17.5 イベントログ(セキュリティ)
2000/04/21,16:23:41,Security,成功の監査,詳細追跡 ,593,NT AUTHORITY¥SYSTEM,WWW,"プロセスの終了:
プロセス ID: 4238147616
ユーザー名: SYSTEM
ドメイン: NT AUTHORITY
ログオン ID: (0x0,0x3E7) "
2000/04/21,16:23:41,Security,成功の監査,詳細追跡 ,593,NT AUTHORITY¥SYSTEM,WWW,"プロセスの終了:
プロセス ID: 4238834400
ユーザー名: SYSTEM
ドメイン: NT AUTHORITY
ログオン ID: (0x0,0x3E7) "
2000/04/21,16:21:25,Security,成功の監査,詳細追跡 ,593,NT AUTHORITY¥SYSTEM,WWW,"プロセスの終了:
プロセス ID: 4238517888
ユーザー名: SYSTEM
ドメイン: NT AUTHORITY
ログオン ID: (0x0,0x3E7) "
2000/04/21,16:21:25,Security,成功の監査,詳細追跡 ,592,NT AUTHORITY¥SYSTEM,WWW,"新しいプロセスの作成:
新しいプロセス ID: 4238517888 イメージ ファイル名: attrib.exe
クリエータ プロセス ID: 4238834400
ユーザー名: SYSTEM
ドメイン: NT AUTHORITY
ログオン ID: (0x0,0x3E7) "
2000/04/21,16:21:09,Security,成功の監査,詳細追跡 ,593,NT AUTHORITY¥SYSTEM,WWW,"プロセスの終了:
プロセス ID: 4238595936
ユーザー名: SYSTEM
ドメイン: NT AUTHORITY
ログオン ID: (0x0,0x3E7) "
2000/04/21,16:21:09,Security,成功の監査,詳細追跡 ,592,NT AUTHORITY¥SYSTEM,WWW,"新しいプロセスの作成:
新しいプロセス ID: 4238595936 イメージ ファイル名: attrib.exe
クリエータ プロセス ID: 4238834400
ユーザー名: SYSTEM
ドメイン: NT AUTHORITY
ログオン ID: (0x0,0x3E7) "
2000/04/21,16:20:19,Security,成功の監査,詳細追跡 ,593,NT AUTHORITY¥SYSTEM,WWW,"プロセスの終了:
プロセス ID: 4238772512
ユーザー名: SYSTEM
ドメイン: NT AUTHORITY
ログオン ID: (0x0,0x3E7) "
2000/04/21,16:20:19,Security,成功の監査,詳細追跡 ,592,NT AUTHORITY¥SYSTEM,WWW,"新しいプロセスの作成:
新しいプロセス ID: 4238772512 イメージ ファイル名: attrib.exe
クリエータ プロセス ID: 4238834400
ユーザー名: SYSTEM
ドメイン: NT AUTHORITY
ログオン ID: (0x0,0x3E7)
2000/04/21,16:18:39,Security,成功の監査,オブジェクト アクセス ,562,NT AUTHORITY¥SYSTEM,WWW,ハンドルのクローズ:
オブジェクト サーバー: Security
ハンドル ID: 16
プロセス ID: 4238834400
2000/04/21,16:18:39,Security,成功の監査,オブジェクト アクセス ,564,NT AUTHORITY¥SYSTEM,WWW,削除されたオブジェクト:
オブジェクト サーバー: Security ハンドル ID: 16
プロセス ID: 4238834400
2000/04/21,16:18:39,Security,成功の監査,オブジェクト アクセス ,560,NT AUTHORITY¥SYSTEM,WWW,"オブジェクトのオープン:
オブジェクト サーバー: Security オブジェクトの種類: File
オブジェクト名: C:¥WINNT¥system32¥rasadmin.exe 新しいハンドル ID: 16
操作 ID: {0,258081}
プロセス ID: 4238834400 プライマリ ユーザー名: SYSTEM プライマリ ドメイン: NT AUTHORITY プライマリ ログオン ID: (0x0,0x3E7) クライアント ユーザー名: クライアント ドメイン:
-クライアント ログオン ID:
-アクセス DELETE
特権
"
2000/04/21,16:18:32,Security,成功の監査,オブジェクト アクセス ,562,NT AUTHORITY¥SYSTEM,WWW,ハンドルのクローズ:
オブジェクト サーバー: Security
ハンドル ID: 48
プロセス ID: 4238834400
2000/04/21,16:18:32,Security,成功の監査,オブジェクト アクセス ,562,NT AUTHORITY¥SYSTEM,WWW,ハンドルのクローズ:
オブジェクト サーバー: Security
ハンドル ID: 56
プロセス ID: 4238834400
2000/04/21,16:18:32,Security,成功の監査,オブジェクト アクセス ,560,NT AUTHORITY¥SYSTEM,WWW,"オブジェクトのオープン:
オブジェクト サーバー: Security オブジェクトの種類: File
オブジェクト名: C:¥WINNT¥system32¥rasadmin.exe 新しいハンドル ID: 56
操作 ID: {0,258071}
プロセス ID: 4238834400 プライマリ ユーザー名: SYSTEM プライマリ ドメイン: NT AUTHORITY プライマリ ログオン ID: (0x0,0x3E7) クライアント ユーザー名: クライアント ドメイン:
-クライアント ログオン ID:
-アクセス READ_CONTROL
SYNCHRONIZE
ReadData (または ListDirectory) ReadEA
ReadAttributes
特権
"
2000/04/21,16:18:32,Security,成功の監査,オブジェクト アクセス ,560,NT AUTHORITY¥SYSTEM,WWW,"オブジェクトのオープン:
オブジェクト サーバー: Security オブジェクトの種類: File
オブジェクト名: C:¥WINNT¥system32¥rasadmin.exe 新しいハンドル ID: 48
操作 ID: {0,258068}
プロセス ID: 4238834400 プライマリ ユーザー名: SYSTEM プライマリ ドメイン: NT AUTHORITY プライマリ ログオン ID: (0x0,0x3E7) クライアント ユーザー名: クライアント ドメイン:
-クライアント ログオン ID:
-アクセス READ_CONTROL
SYNCHRONIZE
ReadData (または ListDirectory) ReadEA
ReadAttributes
特権
"
2000/04/21,16:15:55,Security,成功の監査,詳細追跡 ,592,NT AUTHORITY¥SYSTEM,WWW,"新しいプロセスの作成:
新しいプロセス ID: 4238834400 イメージ ファイル名: CMD.EXE
クリエータ プロセス ID: 4238147616
ユーザー名: SYSTEM
ドメイン: NT AUTHORITY
ログオン ID: (0x0,0x3E7) "
2000/04/21,16:15:25,Security,成功の監査,詳細追跡 ,592,NT AUTHORITY¥SYSTEM,WWW,"新しいプロセスの作成:
新しいプロセス ID: 4238147616 イメージ ファイル名: own.exe
クリエータ プロセス ID: 4240443680
ユーザー名: SYSTEM
ドメイン: NT AUTHORITY
ログオン ID: (0x0,0x3E7) "
2000/04/21,16:15:11,Security,成功の監査,特権の使用 ,576,S-1-5-21-1496415201-442381914-165283079-1000,WWW,"新しいログオンへの特権の割り当て:
ユーザー名: IUSR_WWW
ドメイン: WWW
ログオン ID: (0x0,0x3EA47)
割り当て: SeChangeNotifyPrivilege "
2000/04/21,16:15:11,Security,成功の監査,ログオン/ログオフ ,528,S-1-5-21-1496415201-442381914-165283079-1000,WWW,"ログオンの成功:
ユーザー名: IUSR_WWW
ドメイン: WWW
2 ログオン ID: (0x0,0x3EA47)
ログオンの種類: 3
ログオン プロセス: IIS
認証パッケージ: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 ワークステーション名: WWW "