5139 ディレクトリサービスオブジェクトの移動
Active Directory オブジェクトが別の場所(OU 等)へ移動されたときに記録される。オブジェクトの所属変更を捉える。
概要
サブカテゴリは Audit Directory Service Changes。AD オブジェクトが別の OU/コンテナへ移動されると生成される。移動前後の場所(DN)が含まれる。
発生契機・方法
- ユーザー・コンピュータ・グループ等の OU 間移動。
セキュリティ上の確認事項
- OU の移動は、適用される GPO や委任の変化を意味する。攻撃者がアカウントを、緩い設定や悪性 GPO が適用される OU へ移すことで、防御回避・権限獲得を図る可能性がある。移動前後の OU を確認する。
- とくに特権アカウントや重要マシンの OU 移動に注目する。移動先 OU に適用される GPO・委任を併せて評価する。
ログレビュー時の注意観点
- 組織変更・運用で正規に発生する。移動対象・移動先 OU・主体の正常パターンと照合する。
- 監視対象 OU からの「外し」や、緩い OU への移動に注目する。
主なフィールド
| フィールド | 意味 |
|---|---|
Old DN / New DN | 移動前後の場所 |
Subject\Account Name | 移動を行った主体 |