5136 ディレクトリサービスオブジェクトの変更
Active Directory オブジェクトの属性が変更されたときに記録される。GPO・委任・AdminSDHolder など、AD への永続化・権限昇格の改ざんを捉える最重要級のイベント。
概要
サブカテゴリは Audit Directory Service Changes。AD オブジェクトの属性が変更されると生成され、変更前後の値(Old Value / New Value)と操作種別を記録する点が強力。生成には対象オブジェクトの SACL に変更監査の設定が必要。ドメインコントローラで記録される。
発生契機・方法
- AD オブジェクト(ユーザー、コンピュータ、GPO、OU、グループ等)の属性が追加・変更・削除されたとき。
- 変更前後の値が残るため、何がどう変わったかを直接読める。
セキュリティ上の確認事項
AD を狙う多くの攻撃が、このイベントに痕跡を残す。
- GPO の改ざん: グループポリシーコンテナ/
gPCFileSysPath等の変更は、配下マシンへ悪性スクリプト・設定を配布する手口。GPO オブジェクトの変更は最優先で確認する。 - AdminSDHolder の ACL 変更:
AdminSDHolderオブジェクトのnTSecurityDescriptor変更は、全特権アカウントへ伝播する永続化(4780 参照)。 - 委任の設定:
msDS-AllowedToActOnBehalfOfOtherIdentity(RBCD)やservicePrincipalNameの変更は、なりすまし・Kerberoasting の準備。 dNSHostNameスプーフィング(noPac)、userAccountControlフラグの危険な変更、scriptPath(ログオンスクリプト)の書き換えなども要注目。
ログレビュー時の注意観点
- 正規の管理操作でも大量に発生する。監視対象の属性(GPO 関連、セキュリティ記述子、委任、SPN、UAC フラグ等)に絞って、変更前後の値で評価する。
- 重要属性に SACL を設定しないと記録されない。AD の監査設計で、機微オブジェクト・属性の変更監査を有効にしておくことが前提。
- 変更主体(
Subject)が、本来そのオブジェクトを管理しないアカウントなら強く疑う。
主なフィールド
| フィールド | 意味 |
|---|---|
Object DN / Class | 変更されたオブジェクトと種別 |
Attribute | 変更された属性名 |
Old Value / New Value | 変更前後の値 |
Subject\Account Name | 変更を行った主体 |