4798 ユーザーのローカルグループ所属の列挙
あるユーザーが所属するローカルグループが列挙されたときに記録される。攻撃者の偵察(誰がどの権限を持つかの調査)を捉えるイベント。
概要
サブカテゴリは Audit User Account Management。プロセスが、コンピュータ上で特定ユーザーの所属するローカルグループ(セキュリティ有効)を列挙すると生成される。列挙を行ったプロセスとアカウントが含まれる。
発生契機・方法
whoami /groups、net user、各種管理ツールや API によるグループ所属の列挙。- BloodHound/SharpHound などの AD 偵察ツールも、ローカル情報の収集でこの種の列挙を行う。
セキュリティ上の確認事項
- 攻撃者は侵入後、権限の所在を把握するために所属グループを列挙する(MITRE ATT&CK の Permission Groups Discovery 系)。
net.exeや PowerShell、見慣れない列挙ツールからの 4798 に注目する。 - 列挙を行ったプロセス(
Process Name)が想定外(一時フォルダの実行ファイル等)なら、偵察活動を疑う。ローカルグループメンバーの列挙 4799 と併せて見る。
ログレビュー時の注意観点
- 一部の正規プロセス(管理ツール、ログオン処理など)も列挙を行うため、ベースライン化してノイズを除く。とくに
whoamiやnetの多用、短時間の連続列挙に注目する。 - 単体ではなく、ログオン 4624 直後の列挙、続くアクセスといった一連の偵察フローとして読む。
主なフィールド
| フィールド | 意味 |
|---|---|
Target Account | 所属を列挙された対象ユーザー |
Process Name | 列挙を行ったプロセス |
Subject\Account Name | 列挙を行った主体 |