4799 ローカルグループメンバーの列挙
セキュリティ有効なローカルグループのメンバーが列挙されたときに記録される。BloodHound 等による偵察を捉える、検知価値の高いイベント。
概要
サブカテゴリは Audit Security Group Management。プロセスが、コンピュータ上のローカルグループ(Administrators など)のメンバー一覧を列挙すると生成される。列挙を行ったプロセスとアカウントが含まれる。
発生契機・方法
net localgroup Administrators、Get-LocalGroupMember、各種 API によるメンバー列挙。SharpHound(BloodHound のコレクタ)は、ローカル管理者グループのメンバー収集(横展開の経路探索)でこの列挙を多用する。
セキュリティ上の確認事項
- 偵察の検知: 攻撃者は、どのアカウントがローカル管理者かを把握して横展開先を決める。とくに
Administratorsのメンバー列挙が、net.exeや見慣れないツール、短時間に多数のホストで発生していれば、BloodHound 系の探索を疑う(MITRE ATT&CKT1069.001ローカルグループの探索)。 - 列挙元プロセス(
Process Name)が一時フォルダや非標準パスにある、あるいは同一アカウントが多数ホストで列挙している、といったパターンに注目する。
ログレビュー時の注意観点
- 一部の正規プロセス(インベントリ、管理エージェント)も列挙する。既知の正規プロセスをベースライン化し、それ以外による
Administrators列挙を浮かび上がらせる。 - ユーザーの所属列挙 4798 と併せ、偵察フェーズの動きとして読む。ドメイン横断の探索は、複数ホストの 4799 を相関して捉える。
主なフィールド
| フィールド | 意味 |
|---|---|
Group\Group Name | メンバーを列挙されたグループ(Administrators か) |
Process Name | 列挙を行ったプロセス |
Subject\Account Name | 列挙を行った主体 |
用語メモ
- BloodHound / SharpHound — AD の権限関係を収集・可視化し、攻撃経路を見つけるツール。攻撃者・診断の双方が使う。