4830 アカウントからの SID History 削除
アカウントから SID History が削除されたときに記録される。追加 4765 と対で、SID History の変遷を追う。比較的新しく追加されたイベント。
概要
サブカテゴリは Audit User Account Management。アカウントの sIDHistory 属性から SID が削除されると生成される。SID History は移行用の正規機能だが、悪用されると特権 SID をこっそり継承させる手段になる(4765 参照)ため、その削除も変遷の記録として意味を持つ。
発生契機・方法
- 移行完了後のクリーンアップによる SID History の削除。
- 不正に注入された SID History を、管理者や対応チームが除去したとき。
セキュリティ上の確認事項
- 不正な SID History(特権 SID のインジェクション)を検知して除去した記録となりうる。インシデント対応で 4765/4766 を調べた後、4830 で除去の事実を確認する流れになる。
- 一方、攻撃者が痕跡隠しのために自分の仕込んだ SID History を削除する可能性もある。削除対象の SID と主体を確認する。
ログレビュー時の注意観点
- 通常はまれ。追加 4765 と対で、SID History の付与~削除の履歴を組み立てる。
- 削除された SID が特権グループのものだった場合、過去にインジェクションが行われていた可能性を示すため、前後のログを精査する。
主なフィールド
| フィールド | 意味 |
|---|---|
Target Account\Account Name | SID History を削除された対象 |
| 削除された SID | 除去された継承元 SID |
Subject\Account Name | 操作を行った主体 |