5377 資格情報マネージャの資格情報の復元
バックアップから資格情報マネージャの資格情報が復元されたときに記録される。バックアップ 5376 と対で、保存済み資格情報の移送を捉える。
概要
サブカテゴリは Audit User Account Management。資格情報マネージャの内容が、保護されたバックアップファイルから復元(インポート)されると生成される。
発生契機・方法
- 資格情報マネージャの「資格情報の復元」操作によるインポート。
セキュリティ上の確認事項
- 別環境で取得した資格情報バックアップを、攻撃者が自分の制御する環境・アカウントに復元して悪用する可能性がある。想定外の復元(バックアップとは別のマシン/アカウントでの復元)に注目する。
- バックアップ 5376 との対応で、資格情報がどこからどこへ移送されたかを追う。復元直後のその資格情報を使った認証(4624 等)と相関する。
ログレビュー時の注意観点
- 正規の移行・復旧でも起きるが頻度は低い。実施主体・タイミングと、対応するバックアップの有無を確認する。
- バックアップ元と復元先が異なるアカウント/マシンの場合を高優先で調べる。
主なフィールド
| フィールド | 意味 |
|---|---|
Subject\Account Name | 復元を行ったアカウント |