5137 ディレクトリサービスオブジェクトの作成
Active Directory オブジェクトが作成されたときに記録される。GPO・OU・各種オブジェクトの新規作成を捉え、変更 5136 と併せて AD の構成変更を追う。
概要
サブカテゴリは Audit Directory Service Changes。AD オブジェクトが新規作成されると生成される。生成には対象クラスへの作成監査(SACL)設定が必要。ドメインコントローラで記録される。
発生契機・方法
- ユーザー・コンピュータ・GPO・OU・グループ等の AD オブジェクトの作成。
- ユーザー/コンピュータ作成は専用イベント(4720/4741)でも記録されるが、5137 は AD オブジェクト全般の作成を示す。
セキュリティ上の確認事項
- 新規 GPO の作成や、攻撃者によるオブジェクト追加(権限付与・永続化の準備)を捉えうる。作成されたオブジェクトの種別・場所・作成主体を確認する。
- とくに GPO の新規作成は、配下マシンへ設定を配布する経路になるため注目する。変更 5136・削除 5141 と併せてライフサイクルを追う。
ログレビュー時の注意観点
- 正規の管理操作でも発生する。作成オブジェクトの種別・主体の正常パターンと照合する。
- SACL を設定したクラスでのみ記録される。AD 監査設計で重要クラスの作成監査を有効にする。
主なフィールド
| フィールド | 意味 |
|---|---|
Object DN / Class | 作成されたオブジェクトと種別 |
Subject\Account Name | 作成を行った主体 |