そうでしたか。
ログから、PowerShellの何らかのコマンドが実行されたと思っていますが、残念ですが、何が行われたか分からないので気になっていました。
ありがとうございました。
アクセスログの意味について
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Anonymous
セキュリティソフトのログを見ていて疑問に思いましたが、このアクセスがあったら何が起こったのでしょうか?
>C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\PowerShell\ModuleAnalysisCache
PowerShellのモジュール分析キャッシュという事だと思うのですが、この説明ではよく分かりません。
https://docs.microsoft.com/ja-jp/powershell/scripting/windows-powershell/wmf/whats-new/release-notes?view=powershell-7.1#module-analysis-cache
https://jpcertcc.github.io/ToolAnalysisResultSheet_jp/details/Find-GPOPasswords.htm
家庭向け Windows | Windows 10 | インターネットと接続
ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。
-
Anonymous
2021-04-22T09:17:19+00:00 -
Hebikuzure aka Murachi Akira 325.7K 評価のポイント MVP ボランティア モデレーター2021-04-22T09:12:43+00:00 これだけじゃどのようなコマンドが実行されたかは分からないですね。
ご利用のセキュリティ ソリューションにその機能が無ければログからは分からないでしょう。
PowerShell の実行履歴を確認したければ、以下のポリシーを使われると良いでしょう。
-
Anonymous
2021-04-22T09:09:41+00:00 ご回答頂きありがとうございます。
そうなりますと、このログだけでは何らかのコマンド処理が行われたがどんな処理が行われたかまでは不明という事でしょうか。
もし、どんな処理が行われたか分からないとすれば、今後、同じことが起こった場合に処理過程を可視化する方法はあるのでしょうか。
セキュリティソフトを見ても、そういう事ができるようにはなっていないようです。
-
Hebikuzure aka Murachi Akira 325.7K 評価のポイント MVP ボランティア モデレーター
2021-04-22T04:49:45+00:00 PowerShell のコマンドレットは役割や目的ごとに「モジュール」としてまとめられており、モジュール単位で追加したり(追加したものについては)不要なものを削除したりできます。
このモジュールにどのようなコマンドレットが含まれているか、コマンドの実行時に解析が行われ、実行しようとしたコマンドが検索されます。この解析に時間がかかるので、解析結果がキャッシュされます。これが「モジュール分析キャッシュ」です。
ここへのアクセスがあるということは、何らかの PowerShell コマンドの実行が行われたということでしょう。