リファレンス:Object Access
「オブジェクトアクセス(Object Access)」は、ファイル、フォルダー、レジストリキー、プリンターなどのシステムリソースへのアクセスを監査するカテゴリです。
簡単に言うと、誰がどのオブジェクトにアクセスしたか、成功・失敗を記録する機能です。
攻撃者は、認証情報窃取や権限昇格のために重要なファイルやレジストリにアクセスします。
注目すべきポイントは:
- LSASSへのアクセス
- イベント 4656 や 4663 で
lsass.exeのメモリや関連ハンドルへのアクセス
→ Mimikatzなどのツール利用の兆候
- イベント 4656 や 4663 で
- SAMやSYSTEMハイブの読み取り
- レジストリキー
HKLM\SAMやHKLM\SYSTEMへのアクセス
→ オフラインパスワード抽出の準備
- レジストリキー
- 権限変更
- イベント 4670(オブジェクトの権限変更)
→ ファイルやレジストリのACL改ざん
- イベント 4670(オブジェクトの権限変更)
- 大量のファイルアクセス
- データ窃取やランサムウェアの兆候
→ 短時間で大量の4663イベント
- データ窃取やランサムウェアの兆候
攻撃検知のためには、以下の設定をします。
| ポリシー | 設定値 | 備考 |
|---|---|---|
| 詳細なファイル共有の監査 | 失敗 (既定値:監査なし) | 共有フォルダ上のファイルやフォルダへのアクセスを記録します。(ファイルを開いた/書き込んだ/削除した)但し、共有フォルダの [ プロパティ ] > [ セキュリティ ] > [ 詳細設定 ] > [ 監査 ] で、対象となるユーザーやコンピューターなどのプリンシパル指定しないと、出力されません。 5145: クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。 |
| ファイル共有の監査 | 成功、失敗 (既定値:成功) | 共有フォルダーの共有レベルの操作を記録します。 5140: ネットワーク共有オブジェクトへのアクセスしました。 5142: ネットワーク共有オブジェクトが追加されました。 5143: ネットワーク共有オブジェクトが変更されました。 5144: ネットワーク共有オブジェクトが削除されました。 |
| その他のオブジェクトアクセスイベントの監査 | 成功、失敗 (既定値:監査なし) | タスク スケジューラ ジョブやCOM+ オブジェクト関連のイベントを記録します。また、Windows Filtering Platform (WFP) による DoS 攻撃検知を記録します。 4691: オブジェクトへの間接アクセスが要求されました。 5148: WindowsフィルタリングプラットフォームがDoS攻撃を検知し、防御モードに入りました。この攻撃に関連するパケットは破棄されます。 5149: DoS攻撃は収束し、通常の処理が再開されています。 4698: 予定されたタスクが作成されました。 4699: 予定されたタスクが削除されました。 4700: スケジュールされたタスクが有効になりました。 4701: 予定されていた任務が無効化されました。 4702: 予定されたタスクが更新されました。 5888: COM+カタログのオブジェクトが改変されました。 5889: COM+カタログからオブジェクトが削除されました。 5890: COM+カタログに追加されたオブジェクト。 |
| リムーバブル記憶域の監査 | 成功、失敗 (既定値:監査なし) | リムーバブル記憶域デバイス(NTFS)上のファイルシステムオブジェクトへのユーザーによるアクセスを記録します。exFATでフォーマットされたリムーバブル記憶域や、リムーバブル記憶域のフォルダーに監査設定を行わないとログは出力されません。 4663: オブジェクトへのアクセスが試行されました。 |
