4819 マシンの中央アクセスポリシー変更
マシンに適用された中央アクセスポリシー(CAP)が変更されたときに記録される。組織全体のアクセス制御ルールの変更を捉える。
概要
サブカテゴリは Audit Other Policy Change Events。中央アクセスポリシー (CAP)(Dynamic Access Control で組織横断に適用するアクセス制御ルール)が、そのマシンで変更されると生成される。
発生契機・方法
- マシンに適用される CAP の追加・変更・削除(グループポリシー経由など)。
セキュリティ上の確認事項
- CAP の変更は、対象リソースへのアクセス可否を一括で左右する。攻撃者がアクセス制限を緩める/自分のアクセスを通すために CAP を変更する可能性があり、想定外の変更は調査する。
- ステージングの差異 4818 と併せ、提案→本適用の流れと、本適用後の実際の影響を追う。
ログレビュー時の注意観点
- Dynamic Access Control を運用する環境でのみ意味を持つ。
- まれな変更。変更主体・変更内容を確認し、アクセス制御の弱体化方向の変更に注目する。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | 変更を行った主体 |
| 変更された CAP | 対象ポリシー |