5141 ディレクトリサービスオブジェクトの削除
Active Directory オブジェクトが削除されたときに記録される。GPO・OU・アカウント等の削除を捉え、作成 5137 と対で AD のライフサイクルを追う。
概要
サブカテゴリは Audit Directory Service Changes。AD オブジェクトが削除されると生成される。ドメインコントローラで記録される。
発生契機・方法
- ユーザー・コンピュータ・GPO・OU・グループ等の AD オブジェクトの削除。
セキュリティ上の確認事項
- 重要オブジェクト(GPO、特権グループ、OU 等)の削除は、可用性への影響や、防御・構成の破壊につながりうる。攻撃者が監視・防御に関わるオブジェクトを消す、あるいは痕跡を消す文脈で起きうる。
- 削除されたオブジェクトと主体を確認する。復元 5138 と併せ、削除→復活の流れも追う。
ログレビュー時の注意観点
- 正規の整理・運用で発生する。削除対象・主体の正常パターンと照合する。
- GPO・特権関連オブジェクトの削除を高優先で確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
Object DN / Class | 削除されたオブジェクト |
Subject\Account Name | 削除を行った主体 |