4674 特権オブジェクトへの操作試行
開かれた保護対象オブジェクトに対して、特権を要する操作が試みられたときに記録される。強い権限の実行使用を捉えるイベントの一つ。
概要
サブカテゴリは Audit Sensitive Privilege Use / Audit Non Sensitive Privilege Use。すでに開かれた保護サブシステムのオブジェクトに対し、特権操作が行われたときに生成される。SeShutdownPrivilege(シャットダウン)、SeRemoteShutdownPrivilege(リモートシャットダウン)、SeSecurityPrivilege(監査・セキュリティログの管理)などが使われた場合が典型。操作が失敗すると失敗イベントになる。
発生契機・方法
- 開かれたオブジェクトに対する特権操作(シャットダウン、セキュリティログの操作など)。
- 使われた特権は
Privileges欄に表れる。
セキュリティ上の確認事項
SeSecurityPrivilegeの使用はセキュリティログの操作(クリア等)に関わるため、証跡隠蔽の文脈で注目する。ログ消去 1102 と併せて見る。- リモートシャットダウン権限の行使は、可用性を狙った妨害の可能性がある。想定外の主体による使用を調べる。
ログレビュー時の注意観点
- 4673 同様、有効化すると件数が多い。注目特権・主体で絞る。
- 正規のシステム操作(シャットダウン等)でも出る。誰が・どの特権を、想定どおりの文脈で使ったかを確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | 操作を行ったアカウント |
Privileges | 使用された特権 |
Process Name | 操作元プロセス |