4774 ログオン用アカウントのマッピング
ログオンのために、提示された資格情報がアカウントにマッピング(対応付け)されたときに記録される。証明書ログオンなどで、外部の識別情報を内部アカウントに紐づける処理を捉える。
概要
サブカテゴリは Audit Credential Validation。認証時に、提示された識別情報(証明書のサブジェクトなど)が実際のアカウントに対応付けられると生成される。マッピング失敗は 4775 で記録される。
発生契機・方法
- スマートカード/証明書ベースのログオンで、証明書が AD アカウントにマッピングされたとき。
- 認証パッケージがアカウントマッピングを行ったとき。
セキュリティ上の確認事項
- マッピング先のアカウントが想定どおりかを確認する。証明書マッピングの誤設定や悪用(不正な証明書を特権アカウントに対応付ける等)は、なりすましにつながりうる。
- 失敗版 4775 と併せ、マッピングの成否と対象を追う。
ログレビュー時の注意観点
- 証明書/スマートカード認証を使う環境でのみ意味を持つ。使っていなければほぼ出ない。
- マッピング元(証明書のサブジェクト等)とマッピング先アカウントの対応が正常パターンと一致するかを見る。
主なフィールド
| フィールド | 意味 |
|---|---|
Authentication Package | 使われた認証パッケージ |
Mapped Account | マッピング先のアカウント |