4907 オブジェクトの監査設定(SACL)変更
オブジェクト(ファイルやレジストリキー等)の SACL(監査設定)が変更されたときに記録される。特定オブジェクトの監査の弱体化=証跡隠しを捉える。
概要
サブカテゴリは Audit Policy Change。ファイル・レジストリキーなどの SACL(System Access Control List: そのオブジェクトに対し何を監査するかを定める設定)が変更されると生成される。4715(監査ポリシーの SACL 変更)と近いが、4907 は個々のオブジェクトの監査設定変更を広く捉える。
発生契機・方法
- 監査対象オブジェクトの SACL(誰のどのアクセスを監査するか)が変更されたとき。
セキュリティ上の確認事項
- 重要オブジェクトの SACL を弱める/外す変更は、そのオブジェクトへのアクセスを記録させない狙い(防御回避)でありうる。想定外の SACL 変更は調査する。
- 権限変更 4670 や監査ポリシー変更 4719 と併せ、保護と監査の両面の構成変更を追う。
ログレビュー時の注意観点
- 正規の構成変更(監査設計の見直し)でも発生する。対象オブジェクト・変更主体の正常パターンと照合する。
- 機微フォルダ・レジストリキーの監査弱体化に絞ってアラートにすると有効。
主なフィールド
| フィールド | 意味 |
|---|---|
Object Name / Object Type | 監査設定が変更された対象 |
Subject\Account Name | 変更を行った主体 |