4934 AD オブジェクト属性の複製
Active Directory オブジェクトの属性が複製されたときに記録される。DC 間でどの属性が同期されたかを示す、詳細レプリケーション監査のイベント。
概要
サブカテゴリは Audit Detailed Directory Service Replication。レプリケーションによって AD オブジェクトの属性が複製されると生成される。極めて大量に出るため、通常は常時有効にしない。
発生契機・方法
- DC 間のレプリケーションで、オブジェクトの属性値が同期されたとき。
セキュリティ上の確認事項
- 単体の security 価値は低いが、特定オブジェクト(例: 機密アカウント)の属性がいつ・どこへ複製されたかの追跡に使える。
- 資格情報の複製を狙う攻撃(DCSync 等)の主検知は 4662 で行う。4934 は、レプリケーションの詳細な可視化が必要な調査時に補助的に使う。
ログレビュー時の注意観点
- 詳細レプリケーション監査の中でも特に大量。常時の監視には不向きで、限定的・一時的に有効化する。
- 属性単位の同期を追う必要がある特定調査でのみ参照する。
主なフィールド
| フィールド | 意味 |
|---|---|
Object | 複製されたオブジェクト |
| 複製された属性 | 同期された属性 |
| ソース/宛先 DC | 複製の当事者 |