「インシデント発生時の初動調査の手引き WindowsOS標準ツールで感染を見つける」
https://www.ipa.go.jp/security/J-CRAT/report/20180329.html
└ https://www.ipa.go.jp/files/000065284.pdf
外部からの攻撃が、サーバを超え、更に内部のPCにまで達すると、 攻撃の痕跡調査は(少なくとも私には)難しくなりますが、 J-CRATが公開する以下のpdfは、windowsのコマンドラインまで記載されているので、助かります。