MENU

イベントログ:特権の使用

リファレンス:Privilege Use

「特権の使用(Privilege Use)」監査は、ユーザーやプロセスが特権(管理者権限やシステム権限)を利用した操作を記録するカテゴリです。簡単に言うと、重要な権限を使った行為を追跡し、権限乱用や不正操作を検知するための監査です。

攻撃者は、権限昇格後に特権を悪用してシステムを制御します。注目すべきポイントは:

  1. 特権ログオンの検知
    • イベント 4672
      → Domain AdminやSYSTEM権限でのログオン
  2. 特権サービス呼び出し
    • イベント 4673
      → LSASSへのアクセス、バックアップ権限の利用など
  3. 特権操作の試行
    • イベント 4674
      → セキュリティ設定変更やハンドル操作

攻撃検知のためには、以下の設定をします。

ポリシー設定値備考
重要な特権の使用の監査成功、失敗
(既定値:監査なし)
重要な特権 (ユーザー権利) を使用した場合に記録します。特権には、以下のユーザー権限が含まれます。(大量のイベントが生成されます。)

・オペレーティング システムの一部として機能
・ファイルとディレクトリのバックアップ
・トークン オブジェクトの作成
・プログラムのデバッグ
・コンピューターとユーザー アカウントに委任時の信頼を付与
・セキュリティ監査の生成
・認証後にクライアントを偽装
・デバイス ドライバーのロードとアンロード
・監査とセキュリティ ログの管理
・ファームウェアの環境値の修正
・プロセス レベル トークンの置き換え
・ファイルとディレクトリの復元
・ファイルとその他のオブジェクトの所有権の取得

4672: 新しいログオンに特別な権限が割り当てられました。
4673: 特権サービスが呼び出されました。
4674: 特権オブジェクトに対して操作が試行されました。
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

目次