4658 オブジェクトハンドルのクローズ

オブジェクトへのハンドルが閉じられたときに記録される。単体での意味は薄く、ハンドルがどれだけ開かれていたか（保持時間）を知るための補助イベント。

概要

サブカテゴリは Audit File System / Audit Handle Manipulation / Audit Kernel Object / Audit Registry / Audit Removable Storage。ファイル・レジストリ・カーネルオブジェクト等のハンドルが閉じられたときに生成される。Audit Handle Manipulation の成功監査が有効な場合のみ記録される。

発生契機・方法

• 4656（ハンドル要求）/ 4661 で開いたハンドルを閉じたとき。
• Handle ID で対応するオープンイベントと結び付く。

セキュリティ上の確認事項

• 単体では security 上の意味はほとんどない。ハンドルの保持時間を知りたい場合に、対応する 4656 とペアで使う。
• 機微オブジェクトへのアクセス調査で、「いつ開いて、いつ閉じたか」を補完する材料になる。

ログレビュー時の注意観点

• Audit Handle Manipulation を有効にすると大量のハンドルクローズが記録され、ノイズが非常に多い。通常は常時有効にせず、特定調査時に絞って使う。
• 単独でアラートにせず、4656/4663 など実アクセス系イベントの補足として扱う。

主なフィールド

参考

• Microsoft Learn: 4658(S) The handle to an object was closed.