4719 システム監査ポリシーの変更
コンピュータの監査ポリシーが変更されたときに記録される。監査の有効/無効を切り替える変更で、攻撃者による監査停止(証跡隠し)を捉える最重要級のイベント。
概要
サブカテゴリは Audit Policy Change。監査ポリシー(どのサブカテゴリを成功/失敗で記録するか)が変わると生成される。このイベントは「Audit Policy Change」サブカテゴリの設定にかかわらず常に記録されるため、監査を止めようとした事実自体は残りやすい。
発生契機・方法
auditpol、グループポリシー、API などによる監査ポリシーの変更。- どのサブカテゴリの監査が、どう変わったか(有効化/無効化)が記録される。
セキュリティ上の確認事項
- 攻撃者は活動を記録させないために監査を無効化することがある。
プロセス作成(4688)やログオン(4624)など重要サブカテゴリの無効化は防御回避の強い兆候。 - 監査ポリシーは本来、限られた管理者が計画的にしか変えない。想定外の主体・タイミングでの変更は必ず調査する。SACL 変更 4715 と併せ、監査体制への変更をまとめて監視する。
ログレビュー時の注意観点
- 常時記録されるため、監査を止められても 4719 自体は残りやすい。「監査の無効化」方向の変更を高優先でアラートにする。
- 正規の監査設計変更(ベースライン適用)と、想定外の弱体化を区別する。変更主体・対象サブカテゴリを記録する。
主なフィールド
| フィールド | 意味 |
|---|---|
Category / Subcategory | 変更された監査カテゴリ/サブカテゴリ |
Changes | 監査設定の変更内容(成功/失敗の有効・無効) |
Subject\Account Name | 変更を行ったアカウント |