4691 オブジェクトへの間接アクセス要求
オブジェクトへの間接アクセスが要求されたときに記録される。主に ALPC ポート(プロセス間通信の仕組み)へのアクセス要求で生成される。
概要
サブカテゴリは Audit Other Object Access Events。ALPC(Advanced Local Procedure Call: 同一マシン内のプロセス間通信の仕組み)ポートへのアクセス要求などで生成される。直接ハンドルを取るのではなく、間接的にアクセスが要求された場合を表す。
発生契機・方法
- ALPC ポートへのアクセスが要求されたとき。
- 監査対象(Other Object Access の監査)が有効な環境で記録される。
セキュリティ上の確認事項
- ALPC は多くのシステムサービス間通信に使われる。想定外のプロセスによる特定サービスポートへのアクセス要求は、サービスの悪用や権限昇格の文脈で着目しうる。
- 単体での security 上の意味は限定的。要求元プロセスと対象を確認し、他のオブジェクトアクセスイベントと併せて読む。
ログレビュー時の注意観点
- ALPC アクセスは正常動作で大量に発生する。常時の監視対象にはせず、特定調査時に絞る。
- 対象ポート・要求元プロセスの正常パターンを把握し、逸脱を見る。
主なフィールド
| フィールド | 意味 |
|---|---|
Object Name | 対象(ALPC ポート等) |
Subject\Account Name | 要求元アカウント |
Process Name | 要求元プロセス |
用語メモ
- ALPC (Advanced Local Procedure Call) — Windows 内部でサービス同士が高速にやり取りするための通信路。