4618 監視対象のイベントパターンの発生
外部から明示的に呼び出したときだけ生成される、特殊なイベント。OS が自動で記録するものではなく、運用側が「このパターンが起きた」という管理者アラートを意図的に発行する仕組み。
概要
サブカテゴリは Audit System Integrity。次のコマンドで手動でのみ生成できる。
%windir%\system32\rundll32 %windir%\system32\authz.dll,AuthziGenerateAdminAlertAudit OrgEventId ComputerName UserSid UserName UserDomain UserLogonId EventCount Duration発行には SeAuditPrivilege(セキュリティ監査を生成する権限)が必要。OrgEventID / ComputerName / EventCount が必須で、他は任意。指定しない項目は - と表示される。
発生契機・方法
- 監視製品やスクリプトが、独自に定義した「注目すべきパターン」の発生を記録するために、上記コマンドで明示的に発行したとき。
- 自動的には発生しない。中身の意味づけは発行側に委ねられている。
セキュリティ上の確認事項
- このイベントは「誰かが意図的に発行した」ことを意味する。正規の監視基盤が出しているのか、想定外の発行かを切り分ける。
- 発行には監査生成権限が要るため、その権限を持つ主体の管理状況も確認する。
ログレビュー時の注意観点
- イベントの解釈は運用設計次第。自組織でこの仕組みを使っているなら、その定義(どのパターンで発行するか)と突き合わせて読む。
- 使っていないのに 4618 が出る場合は、誰がどんな目的で発行したのかを起点に調べる。
主なフィールド
| フィールド | 意味 |
|---|---|
OrgEventID | 発行側が割り当てる識別番号 |
ComputerName / EventCount / Duration | 対象ホスト・件数・期間(発行側が指定) |