5145 共有内オブジェクトへのアクセス可否チェック(詳細共有)
ネットワーク共有内の個々のファイル/フォルダに対し、アクセス可否がチェックされたときに記録される。共有経由でどのファイルがアクセスされたかを詳細に捉え、データ持ち出しの検知に使える。
概要
サブカテゴリは Audit Detailed File Share。共有へのアクセス 5140 が「共有に入った」ことを示すのに対し、5145 は共有内の各オブジェクト(ファイル名単位)へのアクセス可否を記録する。要求された権限・対象ファイル・アクセス元 IP が含まれる。
発生契機・方法
- 共有内のファイル/フォルダへのアクセス要求のたびに、可否がチェックされたとき。
- 成功(S)/失敗(F)があり、拒否されたアクセスも記録される。
セキュリティ上の確認事項
- データ持ち出しの検知: どのアカウントが・どの IP から・共有内のどのファイルにアクセスしたかを、ファイル名単位で追える。短時間に大量のファイルを読み出す動きは、データ収集・持ち出しの兆候。
- 機微な共有・ファイルへの想定外アクセスや、拒否(F)の多発(権限の探り)に注目する。共有アクセス 5140・ネットワークログオン 4624 と相関させる。
ログレビュー時の注意観点
- ファイルサーバーでは膨大に出る。対象ファイル・アクセス元・件数で集計し、機微データへのアクセスや大量読み出しに絞る。
- 監査負荷が高いため、重要な共有に限定して有効化するのが現実的。
主なフィールド
| フィールド | 意味 |
|---|---|
Share Name / Relative Target Name | 共有とその中のファイル/フォルダ |
Source Address | アクセス元 IP |
Access Mask | 要求されたアクセス権 |
Subject\Account Name | アクセスしたアカウント |