5376 資格情報マネージャの資格情報のバックアップ
資格情報マネージャ(Credential Manager)に保存された資格情報がバックアップされたときに記録される。保存済み資格情報の持ち出しの観点で注目される。
概要
サブカテゴリは Audit User Account Management。資格情報マネージャ(Web/アプリ/ネットワークのパスワードを保存する Windows の金庫機能)の内容がバックアップ(エクスポート)されると生成される。復元 5377 と対になる。
発生契機・方法
- 資格情報マネージャの「資格情報のバックアップ」操作。バックアップはパスワードで保護されたファイルに書き出される。
セキュリティ上の確認事項
- バックアップは保存済み資格情報をファイルへ持ち出す操作。攻撃者がこの機能で資格情報を一括エクスポートし、別環境で復元して悪用する可能性がある。想定外のバックアップ操作(とくに管理者や標的ユーザーのもの)に注目する。
- 復元 5377 や DPAPI 関連 4692/4693 と併せ、資格情報マテリアルの持ち出し・移送を追う。
ログレビュー時の注意観点
- 正規のユーザー操作でも起きるが、頻度は低い。実施主体・タイミングを確認し、想定外のバックアップを調べる。
- バックアップ直後の不審なファイル操作・持ち出し(共有 5145 等)と相関する。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | バックアップを行ったアカウント |