4656 オブジェクトへのハンドル要求
ファイル・レジストリ・カーネルオブジェクトなどに対して、特定のアクセス権が要求されたときに記録される。要求の可否を示すが、操作が実行されたことまでは示さない。
概要
サブカテゴリは Audit File System / Audit Kernel Object / Audit Registry / Audit Removable Storage。対象オブジェクトの SACL(System Access Control List: どのアクセスを監査するかを定める設定)に該当する監査エントリがある場合のみ生成される。アクセスが拒否されると失敗イベントになる。要求の結果は分かるが、実際に操作が行われたかは 4663 で確認する。
発生契機・方法
- 監査対象に設定したファイル/フォルダ/レジストリキーへのオープン(ハンドル取得)要求。
- 要求された権限は
AccessMask/AccessListに表れる(読み取り・書き込み・削除など)。
セキュリティ上の確認事項
- 機微なファイルやレジストリキーへのアクセス要求の発生源(
Subject)・プロセス(Process Name)を確認する。とくに失敗(拒否)イベントは、権限のないアカウントが触ろうとした兆候。 - どの権限を要求したか(
AccessMask)で意図を推測する。削除・書き込み・所有権取得などの要求は注目度が高い。 - 「要求」段階のイベントなので、実操作の 4663 や削除の 4660 と組み合わせて、要求→実行の流れを追う。
ログレビュー時の注意観点
- SACL を設定した対象でしか出ない。監査対象を絞らないと膨大になり、逆に絞りすぎると見えない。重要資産にだけ SACL を設定する設計が前提。
- ハンドル取得は実アクセスより手前で大量に出る。読み取りだけのアクセスや既知の正規プロセスはノイズになりやすいので、対象と権限でフィルタする。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | 要求したアカウント |
Object Name / Object Type | 対象オブジェクトと種別 |
Accesses / Access Mask | 要求されたアクセス権 |
Process Name | 要求元プロセス |
用語メモ
- SACL (System Access Control List) — オブジェクトに対し「どのアクセスを監査ログに残すか」を定義する設定。これが無いとアクセス系イベントは記録されない。