コンテンツにスキップ

4675 SID のフィルタリング

Active Directory の信頼関係において、SID がフィルタリング(除外)されたときに記録される。信頼をまたいだ権限の不正持ち込みを防ぐ仕組みの動作を示す。

概要

サブカテゴリは Audit Logon。特定の AD 信頼(trust: 別ドメイン/フォレスト間で認証を受け入れる関係)に対して SID フィルタリングが働いたときに生成される。SID フィルタリングは、信頼元から持ち込まれたアクセストークンのうち、信頼先のドメインに属さない SID を除外し、SID History を悪用した権限昇格を防ぐ機能。

発生契機・方法

  • 信頼関係を越えた認証で、フィルタ対象の SID が除外されたとき。
  • ドメイン/フォレスト間の信頼があり、SID フィルタリングが有効な環境で発生する。

セキュリティ上の確認事項

  • SID フィルタリングが働いた記録は、信頼をまたいで本来持つべきでない権限 SID(とくに特権グループの SID)が持ち込まれようとしたことを示す場合がある。SID History を悪用した信頼境界越えの権限昇格の試みと関連しうる。
  • どの信頼で、どの SID が除外されたかを確認し、信頼設定(フィルタリングの有効/無効)が適切かを点検する。

ログレビュー時の注意観点

  • 信頼関係を持つ環境でのみ意味を持つ。フォレスト/ドメイン間信頼が無ければ基本的に出ない。
  • 単発では設定起因のことも多い。特定の信頼・特定 SID に集中する場合は、攻撃の可能性を視野に関連ログと併せて調べる。

主なフィールド

フィールド意味
Subject関連する主体
フィルタされた SID 情報除外された SID

用語メモ

  • SID History — アカウント移行時に旧 SID を引き継ぐ属性。悪用すると、信頼をまたいで特権 SID を注入できるため、SID フィルタリングで防ぐ。

参考