4660 オブジェクトの削除
ファイル・レジストリ・カーネルオブジェクトが削除されたときに記録される。実際の削除操作でのみ出るのが特徴だが、対象名は含まずハンドル ID のみ。
概要
サブカテゴリは Audit File System / Audit Kernel Object / Audit Registry。対象オブジェクトの SACL に「削除 (Delete)」監査が設定されている場合のみ生成される。このイベントは削除されたオブジェクト名を含まず、Handle ID だけを持つ。そのため、何が削除されたかは同じハンドルの 4656(DELETE 権限のハンドル要求)と突き合わせて特定する。
発生契機・方法
- 監査対象のファイル/レジストリキー/オブジェクトが実際に削除されたとき。
- リネーム等でも出る 4663 と違い、4660 は本当の削除操作でのみ生成される点が利点。
セキュリティ上の確認事項
- 証跡やバックアップ、重要ファイルの削除(破壊・隠蔽)の検知に使う。
Handle IDを 4656 と結び、削除対象のオブジェクト名を割り出す。 - 短時間に大量の削除が同一プロセス・アカウントから出れば、ランサムウェアやワイパーによる破壊活動を疑う。
ログレビュー時の注意観点
- 対象名が無いため 4660 単体では読みにくい。必ず同一
Handle IDの 4656 とペアで読み、何が消えたかを補完する。 - SACL を削除監査込みで設定した対象でしか出ない。重要資産に絞って設定する。
主なフィールド
| フィールド | 意味 |
|---|---|
Handle ID | 削除対象のハンドル。4656 との突合キー |
Subject\Account Name | 削除を行ったアカウント |
Process Name | 削除を行ったプロセス |