リファレンス:DS Access
DS(Directory Service)アクセスは、Active Directoryのオブジェクト(ユーザー、グループ、OUなど)に対するアクセスを監査するカテゴリです。簡単に言うと、誰がADのオブジェクトにアクセスしたか、どんな操作をしたかを記録するための監査です。
攻撃者は、権限昇格や横展開のためにADオブジェクトを操作することが多いので、以下を監査するのが重要です:
- 権限変更の検知
- グループメンバーシップ変更(例:Domain Adminsへの追加)
- ACL(アクセス制御リスト)の変更 → イベント 5136(属性変更)、4662(権限操作)
- オブジェクト作成・削除
- 攻撃者がバックドア用のアカウントやサービス接続ポイントを作成 → イベント 5137(作成)、5141(削除)
- オブジェクト移動や復元
- OU移動によるポリシー回避 → イベント 5138, 5139
攻撃検知には以下の設定を行います。
| ポリシー | 設定値 | 備考 |
|---|---|---|
| ディレクトリサービスアクセスの監査 (DC のみ) | 失敗 (DC既定値:成功) | Active Directory ドメイン サービス(AD DS)オブジェクト、ユーザー、グループ、コンピュータ、OU、GPO(グループポリシーオブジェクト)、サービスアカウント、AdminSDHolder などの特権オブジェクト、その他 AD 内の全てのオブジェクトへのアクセスを記録します。そのオブジェクトに監査エントリ(SACL)が設定されていれば、イベントが生成されます。つまり、監査したい AD オブジェクトや属性に「監査ポリシー(SACL)」を設定して初めて出力されます。 Domain Admins / Enterprise Admins / Schema Admins / Administrators、Domain Controllers グループ、AdminSDHolder、特権サービスアカウント/Tier 0 オブジェクトなどに SACL を設定し、限定的に出力すべきです。 4662: オブジェクトに対して操作が実行されました。 |
| ディレクトリ サービスの変更の監査 (DC のみ) | 成功 (DC既定値:監査なし) | AD DS のオブジェクトの変更を記録します。オブジェクトに対して実行された作成、変更、移動などの操作が記録されます。監査は、変更されたオブジェクトのプロパティの古い値と新しい値が記録されます。そのオブジェクトに監査エントリ(SACL)が設定されていれば、イベントが生成されます。 5136: ディレクトリ サービス オブジェクトが変更されました。 5137: ディレクトリ サービス オブジェクトが作成されました。 5138: ディレクトリ サービス オブジェクトの削除が取り消されました。 5139: ディレクトリ サービス オブジェクトが移動されました。 |
