4673 特権サービスの呼び出し
特権を要するシステムサービス操作が試みられたときに記録される。強い権限が実際に使われた瞬間を捉えるが、量が多くチューニングが要る。
概要
サブカテゴリは Audit Sensitive Privilege Use / Audit Non Sensitive Privilege Use。SeSystemtimePrivilege(時刻変更)、SeCreateGlobalPrivilege、SeTcbPrivilege(OS の一部として動作)などの特権が使われたときに生成される。サービス呼び出しが失敗すると失敗イベントになる。
発生契機・方法
- 特権を要するシステムサービス操作が行われたとき。
- どの特権が使われたかは
Privileges欄に表れる。
セキュリティ上の確認事項
SeTcbPrivilegeのような極めて強い特権の使用は、本来限られた主体しか行わない。想定外のアカウントによる使用は権限昇格や悪用を疑う。- 特権ログオンを示す 4672 と組み合わせ、「強い権限が付与され(4672)、実際に使われた(4673/4674)」という流れで追う。
ログレビュー時の注意観点
- Sensitive Privilege Use を有効にすると非常に多くのイベントが出る。常時全量を見るのは非現実的で、特定の特権・特定アカウントに絞って監視する。
- 正規のシステム動作で頻発する特権も多い。注目すべき特権(
SeDebugPrivilege等)と主体の組で絞り込む。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | 特権を使ったアカウント |
Privileges | 使用された特権 |
Process Name | 呼び出し元プロセス |