4715 オブジェクトの監査ポリシー(SACL)変更

オブジェクトのローカル監査ポリシー（SACL: 何を監査するかの設定）が変更されたときに記録される。監査の無効化＝証跡隠しにつながるため、常に記録される重要イベント。

概要

サブカテゴリは Audit Policy Change。ローカルの監査ポリシーのセキュリティ記述子が変わるたびに生成される。このイベントは「Audit Policy Change」サブカテゴリの設定にかかわらず常に記録される。

発生契機・方法

• オブジェクトの SACL（System Access Control List: そのオブジェクトに対し何を監査するかを定める設定）が変更されたとき。

セキュリティ上の確認事項

• 攻撃者が、自分の活動を記録させないために重要オブジェクトの SACL を弱める／外す可能性がある。監査の無効化は防御回避の典型で、SACL 変更は証跡隠しの前段になりうる。
• どのオブジェクトの監査設定が、誰によって、どう変えられたかを確認する。監査ポリシー変更 4719 と併せ、監査体制への変更をまとめて監視する。

ログレビュー時の注意観点

• 常時記録されるため設定漏れの心配は少ない。正規の構成変更（監査設計の見直し）と、想定外の弱体化を区別する。
• 重要資産（機微フォルダ、レジストリ、AD オブジェクト）の SACL 変更に絞ってアラートにすると有効。

主なフィールド

参考

• Microsoft Learn: 4715(S) The audit policy (SACL) on an object was changed.