リファレンス:System
「システム」監査は、OSのセキュリティ設定やシステムレベルのイベントを記録するカテゴリです。簡単に言うと、セキュリティログの整合性やシステム状態の変更を監視するための監査です。
攻撃者は痕跡を隠すためにログを消去したり、時刻を改ざんすることがあります。注目すべきポイントは:
- ログ消去の検知
- イベント 1102
→ 攻撃後の証拠隠滅の兆候
- イベント 1102
- 時刻変更の検知
- イベント 4616
→ タイムスタンプ改ざんによるログ操作
- イベント 4616
- 異常な再起動やシャットダウン
- イベント 4608, 4609
→ 攻撃後の再起動やクラッシュ誘発
- イベント 4608, 4609
攻撃を検知するには、以下の設定をします。
| ポリシー | 設定値 | 備考 |
|---|---|---|
| IPsecドライバーの監査 | 成功、失敗 (既定値:監査なし) | IPsec ドライバーの動作を記録します。 4960: IPsec は整合性チェックに失敗した受信パケットを破棄しました。この問題が続く場合は、ネットワークの問題、またはこのコンピュータへの送信中にパケットが変更されている可能性があります。リモートコンピュータから送信されたパケットが、このコンピュータで受信されたパケットと同一であることを確認してください。このエラーは、他の IPsec 実装との相互運用性に問題があることを示している場合もあります。 4961: IPsec はリプレイチェックに失敗した受信パケットを破棄しました。この問題が続く場合は、このコンピュータに対するリプレイ攻撃が発生している可能性があります。 4962: IPsec はリプレイチェックに失敗した受信パケットを破棄しました。受信パケットのシーケンス番号が小さすぎるため、リプレイではないことが確認できませんでした。 4963: IPsec は、保護されるべき受信クリアテキスト パケットを破棄しました。これは通常、リモート コンピュータがこのコンピュータに通知せずに IPsec ポリシーを変更したことが原因です。また、スプーフィング攻撃の試みである可能性もあります。 4965: IPsec は、リモートコンピュータから不正なセキュリティパラメータインデックス (SPI) を持つパケットを受信しました。これは通常、ハードウェアの故障によりパケットが破損していることが原因です。これらのエラーが解決しない場合は、リモートコンピュータから送信されたパケットが、このコンピュータで受信されたパケットと同一であることを確認してください。このエラーは、他の IPsec 実装との相互運用性に問題があることを示している場合もあります。その場合、接続に支障がなければ、これらのイベントは無視できます。 5478: IPsec サービスが正常に開始されました。 5479: IPsec サービスが正常にシャットダウンされました。IPsec サービスをシャットダウンすると、コンピュータがネットワーク攻撃を受けるリスクが高まったり、潜在的なセキュリティリスクにさらされたりする可能性があります。 5480: IPsecサービスは、コンピュータ上のネットワークインターフェースの完全なリストを取得できませんでした。一部のネットワークインターフェースは適用されたIPsecフィルタによる保護を受けられない可能性があるため、潜在的なセキュリティリスクとなります。IPセキュリティモニタースナップインを使用して問題を診断してください。 5483: IPsec サービスは RPC サーバーの初期化に失敗しました。IPsec サービスを開始できませんでした。 5484: IPsec サービスに重大な障害が発生したため、シャットダウンされました。IPsec サービスをシャットダウンすると、コンピュータがネットワーク攻撃を受けるリスクが高まったり、潜在的なセキュリティリスクにさらされたりする可能性があります。 5485: IPsec サービスは、ネットワーク インターフェースのプラグアンドプレイ イベントで一部の IPsec フィルタを処理できませんでした。一部のネットワーク インターフェースに適用された IPsec フィルタによる保護が受けられない可能性があるため、潜在的なセキュリティ リスクが生じます。IP セキュリティ モニター スナップインを使用して問題を診断してください。 |
| その他のシステムイベントの監査 | 成功、失敗 (既定値:成功、失敗) | Windows ファイアウォール サービス、暗号化キー ファイルおよび移行操作のシステムイベントを記録します。 5024: Windows ファイアウォール サービスが正常に開始されました。 5025: Windows ファイアウォール サービスが停止されました。 5027: Windows ファイアウォール サービスは、ローカル ストレージからセキュリティ ポリシーを取得できませんでした。サービスは現在のポリシーを引き続き適用します。 5028: Windowsファイアウォールサービスは新しいセキュリティポリシーを解析できませんでした。サービスは現在適用されているポリシーで継続されます。 5029: Windowsファイアウォールサービスはドライバーの初期化に失敗しました。サービスは現在のポリシーを引き続き適用します。 5030: Windows ファイアウォール サービスを開始できませんでした。 5032: Windows ファイアウォールは、ネットワーク上での着信接続の受け入れをアプリケーションがブロックしたことをユーザーに通知できませんでした。 5033: Windows ファイアウォール ドライバーが正常に起動しました。 5034: Windows ファイアウォール ドライバーが停止されました。 5035: Windows ファイアウォール ドライバーの起動に失敗しました。 5037: Windows ファイアウォール ドライバーが重大なランタイム エラーを検出しました。終了します。 5058: キー ファイル操作。 5059: キー移行操作。 |
| セキュリティ状態の変更の監査 | 成功 (既定値:成功) | システムの起動や停止などを記録します。 4608: Windows が起動しています。 4609: Windows をシャットダウンしています。 4616: システム時刻が変更されました。 4621: 管理者が CrashOnAuditFail からシステムを回復しました。管理者以外のユーザーもログオンできるようになりました。監査可能なアクティビティの一部が記録されていない可能性があります。 |
| セキュリティシステムの拡張の監査 | 成功 (既定値:監査なし) | 認証パッケージなどの拡張コードの読み込みを記録します。 4610: ローカル セキュリティ機関によって認証パッケージが読み込まれました。 4611: 信頼されたログオン プロセスがローカル セキュリティ機関に登録されました。 4614: セキュリティ アカウント マネージャーによって通知パッケージが読み込まれました。 4622: ローカル セキュリティ機関によってセキュリティ パッケージが読み込まれました。 4697: システムにサービスがインストールされました。 |
| システムの整合性の監査 | 成功、失敗 (既定値:成功、失敗) | セキュリティサブシステムの整合性違反を記録します。 4612: 監査メッセージのキューイングに割り当てられた内部リソースが使い果たされ、一部の監査が失われました。 4615: LPC ポートの使用が無効です。 4618: 監視対象のセキュリティ イベント パターンが発生しました。 4816: RPC は、受信メッセージの暗号化中に整合性違反を検出しました。 5038: コードの整合性により、ファイルのイメージハッシュが無効であると判定されました。ファイルは不正な変更によって破損している可能性があります。また、無効なハッシュはディスクデバイスエラーの可能性を示している可能性があります。 5056: 暗号化自己テストが実行されました。 5057: 暗号化プリミティブ操作に失敗しました。 5060: 検証操作に失敗しました。 5061: 暗号化操作。 5062: カーネル モードの暗号化自己テストが実行されました。 |
