4913 オブジェクトの中央アクセスポリシー変更
オブジェクトに適用された中央アクセスポリシー(CAP)が変更されたときに記録される。個々のリソースに対するアクセス制御ルールの変更を捉える。
概要
サブカテゴリは Audit Authorization Policy Change。ファイル/フォルダなどのオブジェクトに割り当てられた 中央アクセスポリシー (CAP)(クレームと属性に基づくアクセス制御ルール)が変更されると生成される。マシン全体の CAP 変更 4819 に対し、4913 は個別オブジェクトへの適用変更を示す。
発生契機・方法
- ファイル/フォルダに適用される CAP の変更(割り当ての変更・解除など)。
セキュリティ上の確認事項
- 機微なリソースの CAP を緩める/外す変更は、想定外のアクセスを許す可能性がある。攻撃者がアクセス制限を回避するために対象オブジェクトの CAP を変更する場合に注意する。
- リソース属性変更 4911 と併せ、属性とポリシー双方の変更を追う。
ログレビュー時の注意観点
- Dynamic Access Control を運用する環境でのみ意味を持つ。
- 機微オブジェクトの CAP 変更(とくに緩和方向)、対象・実施主体に注目する。
主なフィールド
| フィールド | 意味 |
|---|---|
Object Name | CAP が変更されたオブジェクト |
Central Access Policy | 適用された/変更されたポリシー |
Subject\Account Name | 変更を行った主体 |