4764 グループ種別の変更
グループの種別が変更されたときに記録される。配布グループとセキュリティグループの相互変換を捉え、権限付与能力の変化を監視できる。
概要
サブカテゴリは Audit Security Group Management。グループの種別(セキュリティ/配布、およびスコープ)が変更されると生成される。セキュリティ・配布の両方のグループで発生する。
発生契機・方法
- 配布グループ → セキュリティグループ、またはその逆への変換。
- グループスコープ(ドメインローカル/グローバル/ユニバーサル)の変更。
セキュリティ上の確認事項
- 配布グループ→セキュリティグループへの変換が要注目。配布グループはアクセス権を付与できないが、セキュリティグループに変わると権限付与に使えるようになる。攻撃者が監視の薄い配布グループにメンバーを溜めておき、後でセキュリティグループへ転換して一気に権限を与える、という回避的な手口がありうる。
- 変換後にそのグループへ権利が付与(4704)されたり、特権グループにネストされたりしないか、後続を追う。
ログレビュー時の注意観点
- 種別変更はまれな操作。とくに「配布→セキュリティ」方向の変換を高優先で確認する。
- 対象グループの現メンバーと、変換後に得られる権限を併せて評価する。
主なフィールド
| フィールド | 意味 |
|---|---|
Group\Group Name | 種別が変更されたグループ |
Subject\Account Name | 変更を行った主体 |