5142 ネットワーク共有の追加
ネットワーク共有が新規作成されたときに記録される。攻撃者によるデータ持ち出し用共有の作成などを捉える。
概要
サブカテゴリは Audit File Share。新しいネットワーク共有(SMB 共有)が作成されると生成される。共有名・共有パス・作成主体が含まれる。
発生契機・方法
net share、New-SmbShare、管理ツール等による共有の作成。
セキュリティ上の確認事項
- 攻撃者が、収集したデータの持ち出しや、ツール配布のために独自の共有を作成する場合がある。想定外のホスト・主体による共有作成、見慣れない共有名・パスに注目する。
- とくにサーバー以外の端末での共有作成や、機微フォルダを公開する共有は要注意。共有アクセス 5140 と併せて、作成した共有がどう使われたかを追う。
ログレビュー時の注意観点
- ファイルサーバーでは正規に共有が作られる。作成ホスト・主体・公開パスの正常パターンと照合する。
- ワークステーションでの共有作成や、書き込み許可の広い共有を高優先で確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
Share Name / Share Path | 作成された共有と公開パス |
Subject\Account Name | 作成を行った主体 |