4688 新しいプロセスの作成
新しいプロセスが起動するたびに記録される。実行ファイルのパス・親プロセス・(設定すれば)コマンドラインまで残るため、攻撃の実行を捉える最重要イベントの一つ。
概要
サブカテゴリは Audit Process Creation。プロセスが作成されるたびに生成され、新プロセスのパス(New Process Name)・作成元プロセス(Creator Process Name)・実行アカウントを記録する。既定ではコマンドライン引数は記録されないが、グループポリシー「プロセス作成イベントにコマンド ラインを含める」を有効にすると Process Command Line が加わり、検知能力が大きく向上する。
発生契機・方法
- あらゆるプロセスの起動。アプリ・スクリプト・OS の内部処理を問わず出る。
- コマンドライン記録には、Audit Process Creation の成功監査に加え、
ProcessCreationIncludeCmdLine_Enabled(前述の GPO)の有効化が必要。
セキュリティ上の確認事項
- 親子関係:
Creator Process Name(親)とNew Process Name(子)の組で、不審な起動チェーンを検知する。例:winword.exeからpowershell.exe、w3wp.exeからcmd.exeなど、本来あり得ない親子は侵害の兆候。 - LOLBins(環境寄生バイナリ): OS 標準ツールの悪用を追う。
certutil.exeでのファイルダウンロード、regsvr32.exeでのリモートスクリプト実行、mshta/rundll32/bitsadminの不審な使い方など。 - コマンドライン: エンコードされた PowerShell(
-enc)、難読化、-nop -w hidden等の隠密オプション、外部 URL の指定をProcess Command Lineで探す。 - 実行アカウント・パス(標準フォルダ外や一時フォルダ)も併せて評価する。
ログレビュー時の注意観点
- すべてのプロセス起動が出るため極めて大量。SIEM 前提で、親子関係・コマンドライン・パスを使った相関ルールに落とし込まないと運用できない。
- コマンドラインが空欄なら、前述の GPO が未設定の可能性。検知の前提として設定を確認する。
- コマンドラインにはパスワード等の機微情報が含まれることがあるため、収集・保管時の取り扱いに注意する。
- EDR や Sysmon のイベント ID 1(プロセス作成)と役割が重なる。両方ある場合は突き合わせ、4688 だけのときはコマンドライン設定を必ず有効化する。
主なフィールド
| フィールド | 意味 |
|---|---|
New Process Name | 起動したプロセスのフルパス |
Creator Process Name | 親(作成元)プロセス。Windows 10 以降で取得可 |
Process Command Line | コマンドライン引数(GPO 有効時のみ) |
Subject\Account Name | プロセスを起動したアカウント |
Token Elevation Type | 昇格状態(管理者トークンか) |
用語メモ
- LOLBins (Living Off the Land Binaries) — OS に元から入っている正規ツールを悪用する手口。新たなマルウェアを置かずに攻撃でき、検知を逃れやすい。