4703 ユーザー権利(トークン特権)の調整
アカウントのトークン特権が有効化・無効化されたときに記録される。特権の動的な ON/OFF を捉えるが、量が非常に多く、運用にはチューニングが要る。
概要
サブカテゴリは Audit Authorization Policy Change。特定アカウントのトークンで特権(SeShutdownPrivilege など、必要な瞬間にだけ有効化される権限)が有効・無効に切り替わると生成される。Windows 10 以降は、トークン特権を動的に調整するアプリ/サービスでも記録される(例: Configuration Manager の WMI 問い合わせが svchost.exe 名義で大量に 4703 を生む)。
発生契機・方法
AdjustTokenPrivilegesAPI 等によるトークン特権の有効化/無効化。- OS やアプリの通常動作でも頻発する。
セキュリティ上の確認事項
- 動的な特権調整自体は正規動作が大半。とはいえ、
SeDebugPrivilegeのような強い特権の有効化を、想定外のプロセス・アカウントが行っていれば、資格情報窃取や権限昇格の準備を疑う。 - 特権ログオン 4672 や特権使用 4673 / 4674 と併せ、強い権限の付与→有効化→使用の流れで見る。
ログレビュー時の注意観点
- 非常に大量に出るイベント。前述のとおり Configuration Manager 等で爆発的に増えるため、この監査(Authorization Policy Change の成功)を無効化するか、SIEM 側で強くフィルタする運用が現実的。
- 件数で押し流されないよう、注目特権(
SeDebugPrivilege等)と非標準プロセスの組に絞って検知する。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | 特権を調整したアカウント |
Enabled Privileges / Disabled Privileges | 有効化・無効化された特権 |
Process Name | 調整を行ったプロセス |