4672 新しいログオンへの特権割り当て
ログオンセッションに機微な特権(管理者級の強い権限)が割り当てられたときに記録される。4624 と対で「管理者権限を持つログオンが発生した」ことを示す重要イベント。
概要
サブカテゴリは Audit Special Logon。新規ログオンに、次のような機微な特権のいずれかが付与されると生成される。SeDebugPrivilege(プログラムのデバッグ=他プロセスのメモリ操作)、SeBackupPrivilege / SeRestorePrivilege(バックアップ・復元)、SeTcbPrivilege(OS の一部として動作)、SeImpersonatePrivilege(クライアントのなりすまし)、SeLoadDriverPrivilege(ドライバの読み込み)、SeTakeOwnershipPrivilege(所有権取得)など。SYSTEM のログオンでも毎回出るため、件数は多い。
発生契機・方法
- 管理者級アカウントや SYSTEM が新規ログオンし、機微特権が付与されたとき。
- 4624 と同じ
Logon IDで結び付く。
セキュリティ上の確認事項
- 「管理者権限でのログオン」を捕捉する起点。
Subject\Security IDが SYSTEM 以外で 4672 が出れば、管理者級のセッションが立ち上がったことを意味する。高権限アカウントの利用監視に使う。 - 付与された特権の中でも
SeDebugPrivilege(資格情報ダンプや LSASS メモリ読み出しに悪用される)、SeImpersonatePrivilege(権限昇格 “potato” 系手口で悪用)は要注目。 - 本来一般ユーザーであるはずのアカウントに 4672 が出れば、権限昇格や設定ミスを疑う。4624 と組み合わせ、いつ・どこから管理者ログオンが起きたかを追う。
ログレビュー時の注意観点
- SYSTEM による 4672 が大量に出る正常ノイズ。
Subjectが SYSTEM 以外、という条件で絞ると調査対象が現実的になる。 - どのアカウントが、どの端末で、どの特権を持ってログオンしたかをベースライン化し、逸脱(普段管理者ログオンしない端末での発生など)を見る。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | 特権が割り当てられたアカウント。SYSTEM 以外が着目点 |
Privileges | 付与された機微特権の一覧 |
Logon ID | 4624 との突合キー |
用語メモ
- SeDebugPrivilege — 他プロセスのメモリにアクセスできる強力な特権。資格情報の窃取に悪用される。