4657 レジストリ値の変更
レジストリの「値」が変更されたときに記録される。変更前後の値とプロセスが残るため、永続化や設定改ざんの追跡に有効。
概要
サブカテゴリは Audit Registry。レジストリキーの値が変更されたときに生成される(キー自体の変更では生成されない)。対象キーの SACL に「値の設定 (Set Value)」監査が設定されている場合のみ記録される。変更前 (OldValue) と変更後 (NewValue)、実行プロセスが残る点が調査に役立つ。
発生契機・方法
- 監査設定済みのレジストリキーの値が、作成・変更・削除されたとき。
regedit.exe、reg.exe、各種 API 経由のいずれでも、SACLに合致すれば記録される。
セキュリティ上の確認事項
- 永続化や防御回避でよく狙われるキー(自動起動の
Run、サービス定義、Image File Execution Options、LSA のAuthentication Packages/Notification Packagesなど)に SACL を設定し、4657 で値の変更を捉える。 NewValueに不審な実行ファイルパスやスクリプトが入っていないか、Process Nameが想定外でないかを確認する。
ログレビュー時の注意観点
- レジストリは正規の更新が極めて多い。全キーを監査するのは非現実的で、重要キーに SACL を絞って初めて使える。
- 変更前後の値が記録されるので、差分(何から何へ変わったか)を軸に読む。正規の構成変更(パッチ・GPO 適用)と区別する。
主なフィールド
| フィールド | 意味 |
|---|---|
Object Name / Object Value Name | 対象のキーと値の名前 |
Old Value / New Value | 変更前後の値 |
Process Name | 変更を行ったプロセス |
Subject\Account Name | 実行アカウント |