4735 ローカルグループの変更
セキュリティ有効なローカルグループの属性(名前や説明など)が変更されたときに記録される。グループそのものの設定変更を捉える(メンバー変更は別イベント)。
概要
サブカテゴリは Audit Security Group Management。ローカルグループのプロパティが変更されると生成される。メンバーの追加/削除は 4732/4733 で別途記録され、4735 はグループ自体の属性変更を示す。
発生契機・方法
- グループ名やコメント(説明)などの属性変更。
セキュリティ上の確認事項
- グループ名の変更は、正規グループを装う偽装や、運用の混乱を狙った改変でありうる。とくに特権グループに関わる変更は確認する。
- 単体では security 上の意味が限定的なことも多い。メンバー変更 4732/4733、グループ作成 4731 と併せて、グループ周りの一連の操作として読む。
ログレビュー時の注意観点
- 正規の運用変更でも発生する。変更されたグループ・属性・主体の正常パターンと照合する。
- 何が変わったか(名前・説明)を確認し、特権グループの名称変更など紛らわしい変更に注目する。
主なフィールド
| フィールド | 意味 |
|---|---|
Group\Group Name | 変更されたグループ |
Subject\Account Name | 変更を行った主体 |