4662 オブジェクトに対する操作の実行
Active Directory オブジェクトに対して操作が行われたときに記録される。DCSync(ドメインの資格情報を複製要求で盗む攻撃)の検知に使える、AD 監視の要となるイベント。
概要
サブカテゴリは Audit Directory Service Access。対象 AD オブジェクトに適切な SACL が設定され、行われた操作がその監査条件に合致した場合のみ生成される。操作が失敗すると失敗イベントになる。操作の種類ごとに 1 件ずつ生成される。Properties 欄に、アクセスされた属性や拡張権限の GUID が並ぶ点が読み解きの鍵。
発生契機・方法
- AD オブジェクトの読み取り・書き込み・拡張権限の行使など、監査対象に設定した操作が行われたとき。
- ドメインコントローラで生成される。
セキュリティ上の確認事項
- DCSync 検知: 攻撃者は MS-DRSR(ディレクトリ複製)プロトコルの
GetNCChangesを悪用し、DC になりすまして資格情報を複製要求する。これはmimikatzのlsadump::dcsyncなどで実行される。4662 で次の拡張権限 GUID が要求されていれば DCSync を疑う。1131f6aa-9c07-11d1-f79f-00c04fc2dcd2(DS-Replication-Get-Changes)1131f6ad-9c07-11d1-f79f-00c04fc2dcd2(DS-Replication-Get-Changes-All)
- 重要なのは主体がマシンアカウント(末尾
$)でないこと。DC 間の正規レプリケーションはマシンアカウントで行われるため、ユーザーアカウントがこれらの権限を要求していれば極めて不審。AccessMaskは0x100(コントロールアクセス)が典型。 - ハンドル要求 4661 と併せて、AD への偵察・属性アクセスを追う。
ログレビュー時の注意観点
- DC では正規の操作・レプリケーションで大量に出る。素のままでは扱えないため、「複製系 GUID + 非マシンアカウント」のような条件で絞り込んで初めて DCSync 検知として機能する。
Propertiesの GUID をそのまま読むのは負荷が高い。注目すべき GUID(上記の複製権限など)を辞書化して照合する。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | 操作を行ったアカウント。$ で終わらない=ユーザーは要注意 |
Object Server | DS(ディレクトリサービス) |
Properties | アクセスされた属性・拡張権限の GUID |
Access Mask | 行われたアクセス。0x100 はコントロールアクセス |
用語メモ
- DCSync — ドメインコントローラのレプリケーション機能を悪用し、他の DC からパスワードハッシュ等を複製要求で盗み出す攻撃。