5143 ネットワーク共有の変更
ネットワーク共有の設定が変更されたときに記録される。共有のアクセス許可(共有 ACL)の変更による防御の緩和を捉える。
概要
サブカテゴリは Audit File Share。既存のネットワーク共有のプロパティ(共有のアクセス許可、パスなど)が変更されると生成される。追加 5142・削除 5144 と並ぶ共有変更イベント。
発生契機・方法
- 共有のアクセス許可(共有レベル ACL)やパスの変更。
セキュリティ上の確認事項
- 共有のアクセス許可を緩める変更(Everyone に書き込み許可を付与する等)は、攻撃者が共有を悪用しやすくする・データ持ち出し経路を作る手口でありうる。変更後の許可範囲を確認する。
- 機微な共有のアクセス許可拡大に注目する。共有アクセス 5140 と併せて、変更後にどう使われたかを追う。
ログレビュー時の注意観点
- 正規の運用変更でも発生する。変更された共有・許可範囲・主体の正常パターンと照合する。
- 許可を広げる方向(とくに Everyone/書き込み)の変更を高優先で確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
Share Name | 変更された共有 |
| 変更後の共有 ACL | アクセス許可の内容 |
Subject\Account Name | 変更を行った主体 |