4726 ユーザーアカウントの削除
ユーザーアカウントが削除されたときに記録される。攻撃者が使い終わったアカウントを消して痕跡を隠す動きや、正規アカウントの妨害的削除を捉える。
概要
サブカテゴリは Audit User Account Management。アカウントが削除されると生成される。作成 4720 と対で、アカウントのライフサイクルを通して読む。
発生契機・方法
net user /delete、AD でのアカウント削除、Remove-ADUserなどによる削除。
セキュリティ上の確認事項
- 攻撃者が、侵害中に作成・利用したアカウントを目的達成後に削除して痕跡を消す(防御回避)パターンがある。短時間に作成 4720 → 利用 → 削除 4726 が連続していれば一連の攻撃を疑う。
- 正規の重要アカウント(管理者、サービスアカウント)の削除は、可用性妨害や構成破壊の可能性があるため調査する。
ログレビュー時の注意観点
- 退職処理(無効化のみで削除しない運用も多い)や整理で発生する。削除対象・実施主体・タイミングが運用フローと整合するかを見る。
- 削除によりアカウント情報が失われるため、削除前の作成・グループ追加 4732 などのログと突き合わせて、そのアカウントが何だったかを再構成する。
主なフィールド
| フィールド | 意味 |
|---|---|
Target Account\Account Name | 削除されたアカウント |
Subject\Account Name | 削除を行った主体 |