4904 セキュリティイベントソースの登録試行
新しいセキュリティイベントソースが登録されたときに記録される。セキュリティログへイベントを書き込める発行元の追加を捉える。
概要
サブカテゴリは Audit Policy Change。新しいセキュリティイベントソース(セキュリティログにイベントを書き込むことを許可された発行元)が登録されると生成される。
発生契機・方法
- アプリやコンポーネントがセキュリティイベントソースとして登録されたとき。
- 登録には特権(
SeAuditPrivilege)が必要。
セキュリティ上の確認事項
- セキュリティログに書き込めるソースの追加は、偽のイベントを注入して調査を撹乱する、あるいはログを汚染する手口に関わりうる。想定外のソース登録は、登録元・主体を確認する。
- 登録解除 4905 と併せ、イベントソースの構成変更を追う。正規の監視・セキュリティ製品によるものか切り分ける。
ログレビュー時の注意観点
- 製品導入時などに正規に発生する。登録されたソース名・主体の正常パターンと照合する。
- 見慣れないソースの登録、
SeAuditPrivilegeを持つ想定外アカウントによる登録に注目する。
主なフィールド
| フィールド | 意味 |
|---|---|
Event Source | 登録されたイベントソース名 |
Subject\Account Name | 登録を行った主体 |