4663 オブジェクトへのアクセス試行
ファイル・レジストリ・カーネルオブジェクトに対して、実際にアクセス権が行使されたときに記録される。要求だけを示す 4656 と違い、操作が「行われた」ことを示す、ファイル/レジストリ監査の主役。
概要
サブカテゴリは Audit File System / Audit Kernel Object / Audit Registry / Audit Removable Storage。対象オブジェクトの SACL(どのアクセスを監査するかを定める設定)に該当する監査エントリがある場合のみ生成される。4656 との違いは、4656 が「アクセスを要求した」段階、4663 は「アクセス権が実際に使われた」段階を示す点。4663 には失敗イベントが無い。
発生契機・方法
- 監査対象に設定したファイル/フォルダ/レジストリキー/リムーバブルストレージへの、読み取り・書き込み・削除などの実アクセス。
- 行使されたアクセス権は
Accesses/Access Maskに表れる。WriteData、Delete、WriteDAC(権限変更)、WriteOwner(所有者変更)などが要注目。
セキュリティ上の確認事項
- 機微ファイルへの読み取り・書き込み・削除を、対象 (
Object Name)・実行アカウント (Subject)・プロセス (Process Name) の組で追跡する。とくに書き込み・削除・権限変更系のアクセスを重視する。 - リムーバブルストレージ(USB 等)への書き込みは、データ持ち出し(情報漏えい)の観点で監視する。
Process Nameが標準フォルダ外、またはmimikatz等の不審名を含むものを調べる。要求段階の 4656 や削除の 4660 と相関し、要求→実行→削除の一連を再構成する。
ログレビュー時の注意観点
- SACL を設定した対象でしか出ない。何でも監査すると爆発的に増えるため、重要資産・機微フォルダ・リムーバブルに絞って SACL を設計する。
- 読み取りアクセスは正規業務で大量に出る。書き込み・削除・権限変更といった「変更系」の権限に絞ると、調査対象が現実的になる。
- カーネルオブジェクトの 4663 はセキュリティ上の意味が薄く解析も難しい。明確な狙いがなければ監査対象にしない。
主なフィールド
| フィールド | 意味 |
|---|---|
Object Name / Object Type | アクセスされたオブジェクトと種別 |
Accesses / Access Mask | 実際に行使されたアクセス権 |
Subject\Account Name | アクセスしたアカウント |
Process Name | アクセスを行ったプロセス |
Handle ID | 4656 / 4660 との突合キー |