System.evtx ""Kernel-General"" ID:12,13 (OSの起動、終了)
System.evtx ""Kernel-Power"" ID:42,107 (スリープ状態、再開)
System.evtx ""EventLog"" ID:6005,6006 (ログサービス開始、終了)
System.evtx ""EventLog"" ID:6008 (強制終了後の起動)
System.evtx ""Winlogon"" ID:7001,7002 (ログオン、ログオフ)
Security.evtx ""Microsoft Windows Security Auditing""
ID:4024,4634 (ログオン、ログオフ)
ID:4025(ログオン失敗)
【リモートデスクトップによるログオン】(イベントビューア)
イベントログのSecurity.evtx ログオンタイプ10
【ルータの脆弱性】
JPCERT等で脆弱性がレポートされているモデル
ルータ管理画面にグローバルIP側からログインできる設定になっているか
【アンチウイルスソフト導入状況】
ライセンスは有効か、最新化されているか、検知履歴はあるか 起動中のアンチウイルスソフトの設定確認
【不審なメールの受信履歴】
メールソフトを起動して確認(添付ファイル、リンクURL)
【不審な実行ファイルの起動履歴】
Prefetch等 ツール → WiinPrefetchView、UserAssist
【レジストリのRunキー】
Autoruns
【不審なプロセス】
Process Monitor
【不審な通信】
TCP Explorer
netstat -ab (要管理者権限)