4627 グループメンバーシップ情報
ログオンしたアカウントが所属するグループの一覧を記録する。4624 と対で生成され、「誰がどの権限グループの一員としてログオンしたか」を把握できる。
概要
サブカテゴリは Audit Group Membership。成功ログオン 4624 に伴って生成され、ログオンアカウントが属するグループの SID 一覧(Group Membership)を示す。このイベントを得るには Audit Logon の成功監査も有効にする必要がある。グループ情報が 1 イベントに収まらない場合は複数に分割される(Windows Server 2016 / Windows 10 以降)。
発生契機・方法
- ユーザーまたはコンピュータが成功ログオンしたとき、その所属グループ情報として生成される。
Logon IDで同じセッションの 4624 と結び付く。
セキュリティ上の確認事項
- 通常この情報は NULL SID 主体で報告されるため、
Subject\Security IDが NULL SID 以外のものは報告対象。 - 特定の特権グループ(
S-1-5-32-544= Administrators など)のメンバーがどの端末にログオンしたかを、Group Membershipの SID で追跡できる。高権限グループのメンバーが想定外のホストにログオンしていないか確認する。 - 標準では含まれない管理者グループの SID が、本来一般ユーザーであるはずのアカウントに付いていれば、権限の異常付与を疑う。
ログレビュー時の注意観点
- ログオンのたびに出るため、グループ監視が目的でなければ 4624 を見るほうが軽い。
Group Membershipは SID の羅列。S-1-5-32-544(Administrators)、S-1-5-32-512相当のドメイン管理者など、注目すべき特権 SID を事前にリスト化しておくと読みやすい。
主なフィールド
| フィールド | 意味 |
|---|---|
New Logon\Account Name | 対象アカウント |
Group Membership | 所属グループの SID 一覧 |
Logon ID | 4624 との突合キー |