4732 ローカルグループへのメンバー追加
セキュリティ有効なローカルグループにメンバーが追加されたときに記録される。Administrators など特権グループへの追加は権限昇格に直結する、最重要級のアカウント管理イベント。
概要
サブカテゴリは Audit Security Group Management。ローカルグループに新しいメンバーが追加されると生成され、ドメインコントローラ・メンバーサーバー・ワークステーションのいずれでも記録される。追加メンバーごとに 1 件出る。
発生契機・方法
net localgroup Administrators <user> /add、コンピュータの管理、Add-LocalGroupMemberなどによるメンバー追加。
セキュリティ上の確認事項
- 特権グループへの追加が最重要。
Administrators(ローカル管理者)への追加は、そのアカウントに管理者権限を与えることを意味し、権限昇格・永続化の典型手口。Remote Desktop Usersへの追加(RDP 経路の獲得)も注目。 - アカウント作成 4720 → 特権グループ追加 4732 が連続する流れは、バックドア管理者アカウントの作成を強く示唆する。
- 追加された対象・追加した主体が想定どおりかを確認する。ドメインのグローバル/ユニバーサルグループへの追加は別イベント(4728 / 4756)。
ログレビュー時の注意観点
- 正規の権限付与でも発生する。グループ名(特権グループか)と対象・主体の正常パターンで絞る。とくに
Administratorsへの追加は高優先でアラートにする。 - 削除 4733 と併せ、メンバーシップの変遷を追う。短時間の追加→削除は、一時的な権限利用を隠す動きでありうる。
主なフィールド
| フィールド | 意味 |
|---|---|
Group\Group Name | メンバーが追加されたグループ(特権グループか確認) |
Member\Security ID / Account Name | 追加されたメンバー |
Subject\Account Name | 追加を行った主体 |