4767 ユーザーアカウントのロック解除
ロックアウトされていたアカウントが解除されたときに記録される。ロックアウト 4740 と対で、ロックの発生と解消を追う。
概要
サブカテゴリは Audit User Account Management。アカウントのロックアウトが解除されると生成される。管理者による手動解除や、ロックアウト期間経過後の自動解除で出る。
発生契機・方法
- 管理者によるロック解除(AD ユーザー → アカウントのロック解除、
Unlock-ADAccountなど)。 - ロックアウト期間の経過による自動解除。
セキュリティ上の確認事項
- ロックアウト 4740 → ロック解除 4767 → 直後のログオン 4624 の流れは、攻撃者がロックを解除して攻撃を再開した可能性を示すことがある。誰が解除したかを確認する。
- 高権限アカウントのロック解除や、繰り返しロック/解除されるアカウントは、ブルートフォースの標的として注目する。
ログレビュー時の注意観点
- ヘルプデスク運用で日常的に発生する。解除主体(ヘルプデスクか)と対象の正常パターンと照合する。
- ロックアウト 4740 とペアで、ロックの原因(攻撃か自爆ロックか)まで含めて読む。
主なフィールド
| フィールド | 意味 |
|---|---|
Target Account\Account Name | ロック解除されたアカウント |
Subject\Account Name | 解除を行った主体 |