4725 ユーザーアカウントの無効化
ユーザーアカウントが無効化されたときに記録される。退職処理などの正規運用のほか、防御や妨害の文脈でも意味を持つ。
概要
サブカテゴリは Audit User Account Management。アカウントが無効状態に切り替えられると生成される。有効化 4722 と対で、アカウントの状態変化を追う。
発生契機・方法
net user /active:no、AD でのアカウント無効化、Disable-ADAccountなどによる無効化。
セキュリティ上の確認事項
- 攻撃者が、正規ユーザーのアクセスを妨害する(可用性への影響)目的で重要アカウントを無効化する場合がある。とくに管理者や運用上重要なアカウントの無効化は調査する。
- 逆に、攻撃者が作成・利用したアカウントを後で無効化して目立たなくする(後で再有効化 4722)こともある。作成 4720・削除 4726 と併せて履歴を読む。
ログレビュー時の注意観点
- 退職・異動処理で日常的に発生する。対象アカウント・実施主体が運用フロー(人事連携)と整合するかを見る。
- 高権限・重要アカウントの無効化に絞ってアラートにすると有効。
主なフィールド
| フィールド | 意味 |
|---|---|
Target Account\Account Name | 無効化されたアカウント |
Subject\Account Name | 操作を行った主体 |