5138 ディレクトリサービスオブジェクトの復元
削除された Active Directory オブジェクトが復元(undelete)されたときに記録される。AD ごみ箱等からのオブジェクト復活を捉える。
概要
サブカテゴリは Audit Directory Service Changes。削除済みの AD オブジェクトが復元されると生成される。AD ごみ箱機能等での復活操作を示す。
発生契機・方法
- AD ごみ箱やツールによる、削除済みオブジェクトの復元。
セキュリティ上の確認事項
- 攻撃者が、過去に無効化・削除された特権アカウントやオブジェクトを復活させて悪用する可能性がある。復元されたオブジェクト(とくに特権アカウント)と復元主体を確認する。
- 削除 5141 と対で、削除→復元の流れを追う。想定外の復元は調査する。
ログレビュー時の注意観点
- まれな操作。復元対象が重要オブジェクト(特権アカウント等)なら高優先で確認する。
- 正規の誤削除復旧か、不正な復活かを、対象と主体から切り分ける。
主なフィールド
| フィールド | 意味 |
|---|---|
Object DN / Class | 復元されたオブジェクト |
Subject\Account Name | 復元を行った主体 |