5144 ネットワーク共有の削除

ネットワーク共有が削除されたときに記録される。追加 5142 と対で、共有のライフサイクルを追う。

概要

サブカテゴリは Audit File Share。既存のネットワーク共有が削除されると生成される。

発生契機・方法

net share /delete、Remove-SmbShare、管理ツール等による共有の削除。

セキュリティ上の確認事項

攻撃者が、持ち出しやツール配布に使った共有を後で削除して痕跡を消す場合がある。追加 5142・アクセス 5140 の履歴と突き合わせ、その共有が何に使われたかを確認する。
業務上必要な共有の削除は可用性に影響する。重要共有の削除も確認する。

ログレビュー時の注意観点

正規の整理でも発生する。削除された共有・主体の正常パターンと照合する。
短時間に作成→アクセス→削除と続く共有は、一時的な持ち出し経路の可能性として注目する。

主なフィールド

フィールド	意味
`Share Name`	削除された共有
`Subject\Account Name`	削除を行った主体

参考

Microsoft Learn: 5144(S) A network share object was deleted.