4696 プロセスへのプライマリトークン割り当て
現在のものと異なるアクセストークンを使ってプロセスが実行されたときに記録される。別ユーザーでの実行やサービス起動などを示すが、Windows 7 / 2008 R2 以降は非推奨(廃止)。
概要
サブカテゴリは Audit Process Creation。UAC で昇格したトークン、別ユーザーでの RUN AS、ユーザーを指定したスケジュールタスク、サービスなど、現在のアクセストークンとは異なるトークンでプロセスが動くたびに生成された。ただし Windows 7 / Windows Server 2008 R2 以降は非推奨で、実質的に後継の仕組み(4688 のトークン情報や 4624)で代替される。
発生契機・方法
- 別トークンでのプロセス実行(UAC 昇格、RUN AS、ユーザー指定のスケジュールタスク、サービス等)。
- 新しい OS では基本的に使われない。
セキュリティ上の確認事項
- 旧 OS では、別ユーザーの権限でのプロセス実行を捉える材料になった。現行環境では 4688(プロセス作成・トークン昇格種別)や 4672(特権ログオン)で同等の観点を見る。
- レガシー環境のログを解析する場合に、別トークン実行の手がかりとして参照する。
ログレビュー時の注意観点
- 現行 Windows では基本的に出ない非推奨イベント。新規の検知設計では 4688 を主に使う。
- 古いシステムのフォレンジックで遭遇した場合のみ意味を持つ。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | トークンを割り当てた主体 |
New Token Information | 割り当てられたトークンの情報 |
Process Name | 対象プロセス |