4964 特別グループの新規ログオンへの割り当て
監視対象に指定した「特別グループ」のメンバーがログオンしたときに記録される。高価値アカウントのログオンを浮かび上がらせる、的を絞った検知イベント。
概要
サブカテゴリは Audit Special Logon。特別グループ監査で指定したグループ(例: ドメイン管理者、機微なサービスグループ)のメンバーがログオンすると生成される。監視対象グループは 4908 のテーブルで管理する。
発生契機・方法
- 特別グループに登録したグループのメンバーが、いずれかのホストにログオンしたとき。
- 4624(ログオン成功)と同じセッションで、特別グループ該当を示すために出る。
セキュリティ上の確認事項
- 高価値アカウント(管理者等)のログオンを、大量の通常ログオンの中から確実に拾い上げられる。どの特別グループのメンバーが、いつ・どの端末にログオンしたかを確認する。
- 管理者級アカウントが想定外の端末・時間帯にログオンしていれば、認証情報の悪用や横展開を疑う。特別グループのテーブル自体の変更 4908 と併せて運用する。
ログレビュー時の注意観点
- 特別グループ監査を設定して初めて出る。監視したい高価値グループ(Domain Admins、Enterprise Admins 等)を事前に登録しておく。
- ログオン 4624・特権付与 4672 と相関し、高権限ログオンの全体像を作る。とくに普段ログオンしないサーバーへの管理者ログオンに注目する。
主なフィールド
| フィールド | 意味 |
|---|---|
New Logon\Account Name | ログオンしたアカウント |
Special Groups | 該当した特別グループの SID |
Logon ID | 4624 との突合キー |
用語メモ
- 特別グループ監査 (Special Groups Auditing) — 指定したグループのメンバーのログオンを特別に記録する仕組み。管理者など高価値アカウントの監視に使う。