4902 ユーザー単位監査ポリシーテーブルの作成
システム起動時に、ユーザー単位の監査ポリシーが定義されている場合にそのテーブルが作成されたことを記録する。監査の個別設定の存在を示す基準イベント。
概要
サブカテゴリは Audit Policy Change。ユーザー単位監査ポリシー(特定ユーザーに対し、全体ポリシーと異なる監査設定を割り当てる仕組み)が定義されている場合、システム起動時にその内部テーブルが作成され、本イベントが生成される。
発生契機・方法
- ユーザー単位監査ポリシーが設定された環境でのシステム起動時。
セキュリティ上の確認事項
- ユーザー単位ポリシーは、特定アカウントの監査を全体設定と別に強める/弱めることができる。攻撃者が自分のアカウントだけ監査を弱める設定を仕込むと、活動が記録されにくくなる。本イベントは「ユーザー単位設定が存在する」ことの起動時の確認になる。
- ユーザー単位設定の内容変更自体は別の監査ポリシー変更イベント(4719 等)で追う。
ログレビュー時の注意観点
- ユーザー単位監査ポリシーを使う環境でのみ起動時に出る。使っていなければ出ない。
- 想定外にこのイベントが出る場合、誰かがユーザー単位の監査設定を導入した可能性を示すため、設定内容を確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | 起動処理の主体(多くはシステム) |