4865 信頼フォレスト情報エントリの追加
フォレスト信頼情報のエントリが追加されたときに記録される。フォレスト信頼でどの名前空間・ドメインを受け入れるかの定義変更を捉える。
概要
サブカテゴリは Audit Authentication Policy Change。フォレスト信頼の構成要素(信頼先フォレスト内のドメイン、UPN サフィックス、SID 名前空間など)として、新しい情報エントリが追加されると生成される。信頼の作成 4706 と関連し、信頼が受け入れる範囲を細かく定義する。
発生契機・方法
- フォレスト信頼の設定で、受け入れる名前空間エントリが追加されたとき。
セキュリティ上の確認事項
- 追加された名前空間が、攻撃者の制御するドメインや、本来受け入れるべきでない範囲を含んでいないか確認する。信頼の範囲拡大は、外部からの認証受け入れ経路の拡大を意味する。
- 削除 4866・変更 4867・名前空間衝突 4864 と併せて、フォレスト信頼の構成変更を追う。
ログレビュー時の注意観点
- フォレスト信頼を持つ環境でのみ意味を持つ。まれな変更で、計画外なら調査対象。
- 追加されたエントリ(ドメイン/名前空間)と実施主体を記録し、変更管理と照合する。
主なフィールド
| フィールド | 意味 |
|---|---|
| 追加された名前空間/ドメイン | 受け入れ対象として加えられた範囲 |
Subject\Account Name | 変更を行った主体 |