4817 オブジェクトの監査設定変更(グローバルオブジェクトアクセス)
グローバルオブジェクトアクセス監査ポリシーが変更されたときに記録される。監査範囲の弱体化=証跡隠しにつながる、監査体制の変更を捉える。
概要
サブカテゴリは Audit Policy Change。Global Object Access Auditing(ファイルシステムやレジストリ全体に一括で監査(SACL)を適用する仕組み)のポリシーが変更されると生成される。個別オブジェクトの SACL 変更 4715 と違い、システム全体の監査範囲に効く。
発生契機・方法
- グローバルオブジェクトアクセス監査(ファイル/レジストリ)のポリシー変更。
セキュリティ上の確認事項
- グローバル監査ポリシーの弱体化・削除は、広範囲のアクセス監査を一度に無効化することを意味し、証跡隠し(防御回避)につながる。想定外の変更は調査する。
- 監査ポリシー変更 4719・個別 SACL 変更 4715 と併せ、監査体制全体への変更を監視する。
ログレビュー時の注意観点
- まれな変更。計画外の弱体化方向の変更を高優先で確認する。
- 変更主体・対象(ファイル/レジストリ)・変更内容を記録し、監査設計の意図と照合する。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | ポリシーを変更した主体 |
| 変更内容 | グローバル監査ポリシーの変更詳細 |