コンテンツにスキップ

5061 暗号操作

暗号操作(鍵を用いた暗号化・復号・署名など)が行われたときに記録される。鍵の使用を捉え、鍵関連イベントと併せて資格情報・鍵マテリアルの利用を追える。

概要

サブカテゴリは Audit System Integrity。CNG が管理する鍵を用いた暗号操作(開く・暗号化・復号・署名・検証など)が行われると生成される。成功(S)/失敗(F)があり、対象鍵・操作種別・プロセスが含まれる。

発生契機・方法

  • アプリやサービスが鍵を用いて暗号操作を実行したとき。
  • 証明書の利用、データ保護、TLS など幅広い処理で発生する。

セキュリティ上の確認事項

  • 特定の鍵(証明書の秘密鍵、コード署名鍵等)が、想定外のプロセス・アカウントによって使用されていれば、鍵の不正利用を疑う。鍵ファイル操作 5058 と併せ、鍵の所在と使用を追う。
  • 大量に出るため、注目すべき鍵・プロセスに絞って監視する。

ログレビュー時の注意観点

  • 正規の暗号処理で大量に発生する。常時全量は非現実的で、高価値な鍵や非標準プロセスによる利用に絞る。
  • 失敗 5057/5060 と併せ、暗号利用の異常を見る。

主なフィールド

フィールド意味
Key Name使用された鍵
Operation暗号操作の種別
Process Name / Subject操作元

参考