4912 ユーザー単位監査ポリシーの変更
ユーザー単位の監査ポリシーが変更されたときに記録される。特定アカウントの監査を個別に強める/弱める変更を捉える、監査体制監視の重要イベント。
概要
サブカテゴリは Audit Policy Change。ユーザー単位監査ポリシー(特定ユーザーに対し、全体ポリシーと異なる監査設定を割り当てる仕組み)が変更されると生成される。テーブル作成 4902 が「存在」を、4912 が「内容変更」を示す。
発生契機・方法
- 特定アカウントの監査設定(どのカテゴリを成功/失敗で記録するか)が個別に変更されたとき。
セキュリティ上の確認事項
- 攻撃者が自分のアカウントだけ監査を弱める設定を仕込めば、全体ポリシーは維持したまま自分の活動を記録させずに済む(防御回避)。特定アカウントの監査弱体化に注目する。
- システム監査ポリシー変更 4719 と併せ、全体・個別の双方の監査変更を監視する。
ログレビュー時の注意観点
- まれな変更。とくに「特定ユーザーの監査を弱める」変更を高優先で確認する。
- 対象アカウント・変更内容・実施主体を記録する。ユーザー単位設定を使わない方針なら、4912 が出ること自体が異常。
主なフィールド
| フィールド | 意味 |
|---|---|
Target Account | 監査設定が変更された対象アカウント |
Category / Subcategory | 変更された監査カテゴリ |
Subject\Account Name | 変更を行った主体 |