4908 特別グループログオンテーブルの変更
特別グループ(Special Groups)のログオンテーブルが変更されたときに記録される。特定グループのログオンを重点監視する設定の変更を捉える。
概要
サブカテゴリは Audit Policy Change。特別グループ監査(指定したグループのメンバーがログオンすると 4964 で特別に記録する仕組み)の対象グループ一覧(テーブル)が変更されると生成される。
発生契機・方法
- レジストリ等で特別グループの監視リストが変更されたとき。
セキュリティ上の確認事項
- 特別グループ監査は、機微なグループ(管理者等)のログオンを浮かび上がらせる重要な検知設定。攻撃者がこのテーブルから監視対象グループを外せば、そのグループのログオンが特別記録されなくなる(防御回避)。テーブルの変更内容を確認する。
- 重要グループが監視リストから削除されていないか、想定外の変更でないかを調べる。特別グループログオン 4964 と併せて運用する。
ログレビュー時の注意観点
- まれな変更。監視対象を減らす方向の変更を高優先で確認する。
- 変更後のテーブル内容(どのグループが監視対象か)と実施主体を記録する。
主なフィールド
| フィールド | 意味 |
|---|---|
| 変更後の特別グループ一覧 | 監視対象のグループ SID |
Subject\Account Name | 変更を行った主体 |