マシンで不審な動作が行われていないかをチェックするのに、セキュリティイベントログでプロセスの生成や終了を出力させます。
これはグループポリシーで設定できます。
そしてマシンが侵害されると意図せずプロセスの実行が行われるので、これを見つけます。
ただしこのようにして出力するようにしたプロセスの生成イベントは、例えば net.exe コマンドが実行したとか、quser.exe コマンドが実行したとしか、イベントログには出力されません。
侵害が起きたかどうかのイベントを検知するためにはこれも重要な情報なのですが、プログラムの引数も欲しいです。cscript.exe のプロセス生成だけではなくて、引数で VB スクリプトファイル名も知りたいということです。
※もちろんハッカーはスクリプトを実行したら必ずファイルを消しますから、どんなスクリプトかを知ることができるかどうかは微妙です。経験的には 1.bat とか 1.vbs とか、そんなファイル名を好んで使うハッカーも多いようです。
引数を見る方法としてはもう一段進んだログ取得設定をする方法があります。
Microsoft の Sysinternal スイートに含まれる System Monitor を利用します。
このプログラムはサービス登録することができて、その場合に、イベントログに実行されたプロセス情報をより詳しく記録します。
C:\Tools>sysmon.exe -accepteula -i -n -h md5
-i インストール(プロセス生成イベントを記録する)
-n ネットワークのアクティビティも記録する(特定のプロセスのみ記録することもできる)
その他のオプション
-m イベント・マニフェストのみのインストール
-c 設定の変更
Windows 2008以前:システムイベントログに記録
Windows 2008, Windows 7以降:sysmon のカテゴリのイベントログ(アプリケーションとサービス ログ配下にある)に記録
参考URL
https://technet.microsoft.com/en-us/sysinternals/dn798348.aspx