4615 LPC ポートの不正使用

LSA 専用の LPC ポートに、別のアプリケーションがアクセスしたことを示すために定義されたイベント。ただし、実際にはこのイベントは発生しないとされている。

概要

サブカテゴリは Audit System Integrity。LPC（Local Procedure Call: 同一マシン内のプロセス間通信の仕組み）のポートのうち、LSA がカーネルとの通信に使う専用ポートに、本来使うべきでないアプリケーションがアクセスした場合を想定したイベント。設計上は定義されているが、原文でも「このイベントは発生しないようだ」と明記されている。

発生契機・方法

定義上は、LSA 専用の LPC ポートにアプリケーションが意図せず、または意図的にアクセスしたとき。
実運用ではまず観測されない。

セキュリティ上の確認事項

仮に発生した場合、LSA とカーネルの通信経路に細工しようとするプロセスの可能性があるため、該当プロセスを調査する。
公式にも具体的な監視推奨は示されていない。実質的には「出たら異常」という位置づけに留める。

ログレビュー時の注意観点

通常は出ないイベントなので、検知ルールの主役にはしない。万一観測されたら、プロセス名・PID を起点に精査する。

主なフィールド

フィールド	意味
`Invalid Use` / `LPC Server Port Name`	不正使用の内容と対象ポート名
`Process Information (PID / Name)`	アクセス元プロセス

用語メモ

LPC (Local Procedure Call) — 同じマシン内のプロセス同士がやり取りするための内部的な通信路。

参考

Microsoft Learn: 4615(S) Invalid use of LPC port.