・重要な特権の使用の監査
Last-modified: 2019-12-10 (火) 10:22:00
Top/・重要な特権の使用の監査
攻撃者はデバッグツールを使用して、悪意あるプログラムの実行を試みます。
この場合、デバッグツールを端末にInstallしないか、もしくは、デバッグツールを使用したことが検出できれば、攻撃を察知できます。
次の特権のいずれかの呼び出しでイベントが書き込まれます。
- オペレーティング システムの一部として機能
- ファイルとディレクトリのバックアップ
- トークン オブジェクトの作成
- プログラムのデバッグ
- コンピューターとユーザー アカウントに委任時の信頼を付与
- セキュリティ監査の生成
- 認証後にクライアントを偽装
- デバイス ドライバーのロードとアンロード
- 監査とセキュリティ ログの管理
- ファームウェアの環境値の修正
- プロセス レベル トークンの置き換え
- ファイルとディレクトリの復元
- ファイルとその他のオブジェクトの所有権の取得