4928 AD レプリカソース名前付けコンテキストの確立
Active Directory のレプリカソース名前付けコンテキストが確立されたときに記録される。ドメインコントローラ間のレプリケーション関係の確立を捉える。
概要
サブカテゴリは Audit Detailed Directory Service Replication。あるドメインコントローラが、別の DC をレプリケーション元(ソース)として、特定の名前付けコンテキスト(ディレクトリのパーティション)の複製関係を新たに確立すると生成される。成功(S)/失敗(F)がある。
発生契機・方法
- DC 間で新たなレプリケーション接続が確立されたとき(昇格、トポロジ変更、復旧時など)。
セキュリティ上の確認事項
- レプリケーションは DC 間でディレクトリ(資格情報を含む)を同期する仕組み。正規でない DC や、想定外の相手とのレプリケーション関係の確立は、不正な DC の追加(rogue DC)やデータ取得の試みを疑う材料になる。
- DCSync(4662 で検知)は正規 DC へのレプリケーション要求の悪用だが、4928 系の詳細レプリケーション監査は、レプリケーション関係そのものの異常検知に使える。詳細監査は量が多いため、通常は重要 DC で限定的に有効化する。
ログレビュー時の注意観点
- 詳細ディレクトリサービスレプリケーション監査は非常に大量に出る。常時全量ではなく、トポロジ変更時の調査や限定的な監視に使う。
- 確立されたソース DC・名前付けコンテキストが、正規のレプリケーショントポロジと一致するかを確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
Source Address / ソース DC | レプリケーション元の DC |
Naming Context | 対象のディレクトリパーティション |
用語メモ
- 名前付けコンテキスト (Naming Context) — AD のディレクトリを分割した単位(ドメイン/構成/スキーマ等)。レプリケーションはこの単位で行われる。