5140 ネットワーク共有へのアクセス
ネットワーク共有にアクセスされたときに記録される。SMB 経由の共有アクセスを捉え、横展開やデータ持ち出しの検知に使える。
概要
サブカテゴリは Audit File Share。クライアントがネットワーク共有(SMB 共有)にアクセスすると生成される。アクセス元アカウント・送信元 IP・対象共有名が含まれる。共有内の個々のファイルアクセスは 5145 で詳細に記録される。
発生契機・方法
- ファイル共有、
C$/ADMIN$などの管理共有、IPC$へのアクセス。 - ネットワークログオン 4624(Type 3)に続いて発生することが多い。
セキュリティ上の確認事項
- 管理共有(
C$/ADMIN$)へのアクセスは、PsExec 等を用いた横展開やリモート実行の典型。アクセス元 IP・アカウントが想定どおりかを確認する。 IPC$への匿名/大量アクセスは、列挙(偵察)の兆候となりうる。短時間に多数のホストの共有へアクセスする動きは横展開を疑う。- ネットワークログオン 4624(Type 3, NTLM)や pass-the-hash の文脈と相関し、誰が・どこから・どの共有に入ったかを追う。
ログレビュー時の注意観点
- 通常のファイルサーバー利用で大量に出る。送信元 IP・アカウント・共有名で集計し、管理共有アクセスや異常な送信元に絞る。
- 共有名
\\*\IPC$は接続確立に伴い頻出するためノイズになりやすい。管理共有や機微共有へのアクセスを重点的に見る。
主なフィールド
| フィールド | 意味 |
|---|---|
Share Name | アクセスされた共有(C$/ADMIN$ か) |
Source Address | アクセス元 IP |
Subject\Account Name | アクセスしたアカウント |