4626 ユーザー/デバイスのクレーム情報
新しいログオンに紐づくクレーム(属性ベースのアクセス制御で使う、ユーザーやデバイスの属性情報)を記録する。Dynamic Access Control を使う環境でのみ意味を持つ補助イベント。
概要
サブカテゴリは Audit User/Device Claims。新規アカウントログオンの際、そのセッションに付与されたユーザー/デバイスのクレームを記録する。クレームを持たないユーザー/デバイスでは生成されない。通常は 4624 の直後に、同じ Subject・Logon Type・New Logon 情報を持つ 4626 が続く。ログオン先(対象コンピュータ)で生成される。
発生契機・方法
- クレームを持つアカウント/デバイスが新規ログオンしたとき。
- コンピュータアカウントのログオンでは、デバイスクレームが
User Claims欄に出る。 - クレームが 1 イベントに収まらない場合、
1 of Nの形式で複数に分割される。
セキュリティ上の確認事項
- 通常この情報は NULL SID 主体で報告されるため、
Subject\Security IDが NULL SID 以外のものは報告対象。 - 特定のクレームを持つアカウントのログオンを追跡したい場合(例: 特定部署のクレームを持つ者が特定サーバへアクセス)、
User Claims/Device Claimsを確認する。属性ベースのアクセス制御を運用しているなら、クレームの逸脱(持つべきでない属性など)を監視する。
ログレビュー時の注意観点
- クレームの監視が不要で、単にログオン有無だけ見たいなら、4626 ではなく 4624 を見るほうが素直。
- Dynamic Access Control を使っていない環境ではほとんど発生しない。出ている場合は環境がクレームを利用している前提で読む。
主なフィールド
| フィールド | 意味 |
|---|---|
New Logon\Account Name | クレームの対象アカウント |
User Claims | ユーザー(またはデバイス)のクレーム一覧 |
Device Claims | デバイスのクレーム一覧。ユーザーアカウントでは通常 - |
用語メモ
- クレーム (claim) — 「所属部署=IT」のような、ユーザーやデバイスの属性。Dynamic Access Control でアクセス可否の判断材料に使う。