4911 オブジェクトのリソース属性変更
ファイルシステムオブジェクトのリソース属性が変更されたときに記録される。Dynamic Access Control でアクセス判定に使う属性(機密区分など)の変更を捉える。
概要
サブカテゴリは Audit Authorization Policy Change。リソース属性(ファイル/フォルダに付与する分類タグ。例: 機密度=高)が変更されると生成される。中央アクセスポリシー(CAP)は、この属性とユーザーのクレームを突き合わせてアクセス可否を決めるため、属性変更はアクセス制御に影響する。
発生契機・方法
- ファイル/フォルダのリソース属性(機密区分、部門タグ等)の変更。
セキュリティ上の確認事項
- 機密区分などの属性を引き下げる変更は、本来アクセスできない者がアクセスできるようになる可能性がある。攻撃者が機密ファイルの分類を下げて持ち出し制限を回避する、といった使い方に注意する。
- 中央アクセスポリシー変更 4913 と併せ、属性とポリシー双方の変更を追う。
ログレビュー時の注意観点
- Dynamic Access Control を運用する環境でのみ意味を持つ。
- 機密度を下げる方向の属性変更、対象ファイル・実施主体に注目する。
主なフィールド
| フィールド | 意味 |
|---|---|
Object Name | 属性が変更されたオブジェクト |
Resource Attributes | 変更されたリソース属性 |
Subject\Account Name | 変更を行った主体 |