4731 セキュリティ有効ローカルグループの作成
セキュリティが有効なローカルグループが作成されたときに記録される。権限の付与単位となるグループの新設を捉える。
概要
サブカテゴリは Audit Security Group Management。アクセス権の付与に使える(セキュリティが有効な)ローカルグループが作成されると生成される。グループはメンバーに権限をまとめて与える単位なので、その新設は権限設計の変更を意味する。
発生契機・方法
net localgroup <name> /add、コンピュータの管理、New-LocalGroupなどによるローカルグループ作成。
セキュリティ上の確認事項
- 攻撃者が独自のグループを作り、そこに権限やアカウントをまとめて、後の権限管理や偽装に使う場合がある。作成主体・グループ名が想定どおりかを確認する。
- グループ作成だけでは権限は付かないが、直後のメンバー追加(4732)や、そのグループへの権利付与(4704)と組み合わせて、権限拡大の一連を追う。
ログレビュー時の注意観点
- アプリのインストールや正規運用でもローカルグループは作られる。作成主体・グループ名の正常パターンと照合する。
- ドメインのグローバル/ユニバーサルグループ作成は別イベント(4727 / 4754 等)。ローカルグループの 4731 と混同しない。
主なフィールド
| フィールド | 意味 |
|---|---|
New Group\Group Name | 作成されたグループ名 |
Subject\Account Name | グループを作成した主体 |