5712 RPC の試行
リモートプロシージャコール(RPC)が試みられたときに記録される。RPC 経由のサービス呼び出しを捉える。
概要
サブカテゴリは Audit RPC Events。RPC(Remote Procedure Call: プロセス間/マシン間で機能を呼び出す仕組み)の呼び出しが試みられると生成される。多くのリモート管理・サービス間通信は RPC を使う。
発生契機・方法
- アプリやサービスが RPC でリモート/ローカルの機能を呼び出したとき。
セキュリティ上の確認事項
- RPC は、リモート操作(サービス制御、タスクスケジューラ、WMI 等)や横展開の経路として悪用されうる。想定外の RPC 呼び出し元・宛先に注目する。
- 大量・広範な RPC は、リモート列挙や横展開の偵察を示すことがある。プロセス・送信元と併せて評価する。
ログレビュー時の注意観点
- RPC は正常動作で大量に発生する。常時全量は非現実的で、特定のインターフェイス・送信元に絞って監視する。
- RPC 整合性違反 4816 と併せて、RPC まわりの異常を見る。
主なフィールド
| フィールド | 意味 |
|---|---|
Interface 情報 | 呼び出された RPC インターフェイス |
| 送信元/プロセス | 呼び出し元 |