4905 セキュリティイベントソースの登録解除試行

セキュリティイベントソースの登録が解除されたときに記録される。登録 4904 と対で、ログ発行元の構成変更を追う。

概要

サブカテゴリは Audit Policy Change。既存のセキュリティイベントソース（セキュリティログへの書き込みが許可された発行元）の登録が解除されると生成される。

発生契機・方法

アプリやコンポーネントがセキュリティイベントソースの登録を解除したとき。

セキュリティ上の確認事項

正規の監視・セキュリティ製品のイベントソース登録解除は、そのソースからのログ供給が止まることを意味し、可視性の低下（防御回避）につながりうる。想定外の解除は調査する。
登録 4904 と併せ、イベントソースの追加/削除を通して監視の構成変化を把握する。

ログレビュー時の注意観点

製品のアンインストール等で正規に発生する。解除されたソース・主体の正常パターンと照合する。
監視に重要なソースの解除に注目する。

主なフィールド

フィールド	意味
`Event Source`	登録解除されたイベントソース
`Subject\Account Name`	解除を行った主体

参考

Microsoft Learn: 4905(S) An attempt was made to unregister a security event source.