4733 ローカルグループからのメンバー削除
セキュリティ有効なローカルグループからメンバーが削除されたときに記録される。追加 4732 と対で、グループメンバーシップの変遷を追う。
概要
サブカテゴリは Audit Security Group Management。ローカルグループからメンバーが除去されると生成され、削除メンバーごとに 1 件出る。
発生契機・方法
net localgroup <group> <user> /delete、Remove-LocalGroupMemberなどによるメンバー削除。
セキュリティ上の確認事項
- 攻撃者が特権グループへ一時的に自分を追加(4732)して操作し、直後に削除して痕跡を薄める動きがある。短時間の追加→削除のペアは注目に値する。
- 正規の管理者を
Administratorsから外すなど、防御や運用に関わるメンバー削除は、権限剥奪・妨害の文脈で確認する。
ログレビュー時の注意観点
- 正規の権限見直しでも発生する。対象グループ(特権か)・削除されたメンバー・実施主体の正常パターンと照合する。
- 追加 4732 とセットで、メンバーシップの履歴として読む。
主なフィールド
| フィールド | 意味 |
|---|---|
Group\Group Name | メンバーが削除されたグループ |
Member\Account Name | 削除されたメンバー |
Subject\Account Name | 削除を行った主体 |