4734 ローカルグループの削除

セキュリティ有効なローカルグループが削除されたときに記録される。グループ単位の権限設計の変更を捉える。

概要

サブカテゴリは Audit Security Group Management。ローカルグループが削除されると生成される。作成 4731 と対で、グループのライフサイクルを追う。

発生契機・方法

net localgroup <name> /delete、Remove-LocalGroup などによるグループ削除。

セキュリティ上の確認事項

権限付与に使われていたグループの削除は、アクセス制御の構成変更を意味する。正規グループの削除は、関連する権限・アクセスの喪失につながるため確認する。
攻撃者が一時的に作ったグループ（4731）を後始末として削除する場合もある。作成・メンバー追加 4732 の履歴と突き合わせる。

ログレビュー時の注意観点

正規の整理・アンインストールでも発生する。削除対象グループ・実施主体の正常パターンと照合する。
削除でメンバー情報が失われるため、削除前のメンバー追加/削除ログと併せて、そのグループが何だったかを再構成する。

主なフィールド

フィールド	意味
`Group\Group Name`	削除されたグループ
`Subject\Account Name`	削除を行った主体

参考

Microsoft Learn: 4734(S) A security-enabled local group was deleted.