リファレンス:Privilege Use
「特権の使用(Privilege Use)」監査は、ユーザーやプロセスが特権(管理者権限やシステム権限)を利用した操作を記録するカテゴリです。簡単に言うと、重要な権限を使った行為を追跡し、権限乱用や不正操作を検知するための監査です。
攻撃者は、権限昇格後に特権を悪用してシステムを制御します。注目すべきポイントは:
- 特権ログオンの検知
- イベント 4672
→ Domain AdminやSYSTEM権限でのログオン
- イベント 4672
- 特権サービス呼び出し
- イベント 4673
→ LSASSへのアクセス、バックアップ権限の利用など
- イベント 4673
- 特権操作の試行
- イベント 4674
→ セキュリティ設定変更やハンドル操作
- イベント 4674
攻撃検知のためには、以下の設定をします。
| ポリシー | 設定値 | 備考 |
|---|---|---|
| 重要な特権の使用の監査 | 成功、失敗 (既定値:監査なし) | 重要な特権 (ユーザー権利) を使用した場合に記録します。特権には、以下のユーザー権限が含まれます。(大量のイベントが生成されます。) ・オペレーティング システムの一部として機能 ・ファイルとディレクトリのバックアップ ・トークン オブジェクトの作成 ・プログラムのデバッグ ・コンピューターとユーザー アカウントに委任時の信頼を付与 ・セキュリティ監査の生成 ・認証後にクライアントを偽装 ・デバイス ドライバーのロードとアンロード ・監査とセキュリティ ログの管理 ・ファームウェアの環境値の修正 ・プロセス レベル トークンの置き換え ・ファイルとディレクトリの復元 ・ファイルとその他のオブジェクトの所有権の取得 4672: 新しいログオンに特別な権限が割り当てられました。 4673: 特権サービスが呼び出されました。 4674: 特権オブジェクトに対して操作が試行されました。 |
