4743 コンピュータアカウントの削除
コンピュータアカウントが削除されたときに記録される。マシンのドメイン離脱や廃棄の正規運用のほか、妨害的削除を捉える。
概要
サブカテゴリは Audit Computer Account Management。コンピュータオブジェクトが削除されると生成され、ドメインコントローラ上でのみ記録される。作成 4741 と対で、マシンアカウントのライフサイクルを追う。
発生契機・方法
- マシンのドメイン離脱、AD でのコンピュータオブジェクト削除、
Remove-ADComputerなど。
セキュリティ上の確認事項
- 稼働中のサーバー等のコンピュータアカウントが削除されると、そのマシンの認証・ドメイン参加が壊れ、可用性に影響する。重要マシンの削除は調査する。
- 攻撃者が一時的に作ったマシンアカウント(4741、RBCD/noPac の足場)を後始末で削除する場合もある。作成・変更 4742 の履歴と突き合わせる。
ログレビュー時の注意観点
- 機器の更改・廃棄で正規に発生する。削除対象・実施主体・タイミングが運用と整合するかを見る。
- 重要サーバーやドメインコントローラのコンピュータアカウント削除は高優先で扱う。
主なフィールド
| フィールド | 意味 |
|---|---|
Target Computer\Account Name | 削除されたコンピュータアカウント |
Subject\Account Name | 削除を行った主体 |