4661 AD/SAM オブジェクトへのハンドル要求
Active Directory オブジェクトまたは SAM オブジェクトに対してハンドルが要求されたときに記録される。ディレクトリや SAM(アカウントデータベース)への直接アクセスを捉える。
概要
サブカテゴリは Audit Directory Service Access と Audit SAM。AD オブジェクトまたは SAM(Security Account Manager: ローカル/ドメインのアカウント情報を保持する仕組み)のオブジェクトへハンドルが要求されると生成される。アクセスが拒否されると失敗イベントになる。Audit Handle Manipulation の成功監査が有効な場合のみ記録される。
発生契機・方法
- AD オブジェクトや SAM データベースへのアクセス要求(読み取り・書き込み・列挙など)。
- ドメインコントローラやアカウント情報を持つホストで主に発生する。
セキュリティ上の確認事項
- SAM データベースへの不審なアクセスは、アカウント列挙や資格情報の窃取(SAM ダンプ)の前段になりうる。要求元アカウント・プロセスを確認する。
- AD オブジェクトへの広範な読み取り要求は、ディレクトリの偵察(どんなアカウント・グループがあるかの調査)を示すことがある。実際の操作を示す 4662 と併せて見る。
ログレビュー時の注意観点
- Audit Handle Manipulation を有効にすると件数が多くなる。常時ではなく、DC や重要ホストで対象を絞って使う。
- 正規の管理ツールやレプリケーションによるアクセスが大半。アカウント・プロセス・要求権限の正常パターンをベースライン化して逸脱を見る。
主なフィールド
| フィールド | 意味 |
|---|---|
Object Type / Object Name | 対象(AD オブジェクト / SAM オブジェクト) |
Accesses / Access Mask | 要求されたアクセス権 |
Subject\Account Name | 要求元アカウント |
Process Name | 要求元プロセス |