リファレンス:Detailed Tracking
プロセスの作成・終了、ハンドル操作、RPCイベントなどの詳細なアクティビティを記録する機能です。以下の点に着目します。
- 不審なプロセス実行
powershell.exe、cmd.exe、wmic.exe、rundll32.exeの異常な利用コマンドライン引数に「Base64」「DownloadString」などが含まれる場合は要注意(ファイルレス攻撃の兆候) - 横展開の兆候
psexec.exe や wmic を使ったリモート実行
RPCイベントの異常な頻度 - 権限昇格や認証情報窃取
lsass.exe に対するハンドル操作(イベント ID 4656)
Mimikatzなどのツール利用痕跡 - 持続化の設定変更
スケジュールタスク作成やサービス登録に関連するプロセス
攻撃検知には以下の設定を行います。
| ポリシー | 設定値 | 備考 |
|---|---|---|
| PNPアクティビティの監査 | 成功 (既定値:監査なし) | プラグ アンド プレイによって外部デバイスが検出されたかどうかが記録されます。 20001: Microsoft-Windows-UserPNP Installation or Update 20002: Microsoft-Windows-UserPNP Installation error 20003: Microsoft-Windows-UserPNP Service Installation or Update |
| プロセス作成の監査 | 成功 (既定値:監査なし) | プロセスの作成と、それを作成したプログラムまたはユーザーの名前を記録します。 4688: 新しいプロセスが作成されました。 4696: プロセスにプライマリ トークンが割り当てられました。 |
また、コマンドラインインターフェースの実行記録を残すためには、グループポリシーで [ コンピューターの構成 ] > [ 管理用テンプレート ] > [ システム ] > [ プロセス作成の監査 ] > [ プロセス作成イベントにコマンドラインを含める ] を [ 有効 ] に設定します。
コマンドラインインターフェースの実行記録の注意事項
この設定では、コマンドラインインターフェースの引数が [ 4688: 新しいプロセスが作成されました。] に記録されるため、バッチ処理等でデーターベース接続文字列や、ID、PW 等をコマンドラインで渡すと、これらがすべて平文で記録されます。攻撃側は、[ 4688: 新しいプロセスが作成されました。] をチェックする可能性があるため、バッチファイルに平文の資格情報がないか等、事前のチェックが必須です。
