5888 COM+ カタログのオブジェクト変更
COM+ カタログ内のオブジェクトが変更されたときに記録される。COM+ アプリケーションの構成変更を捉え、永続化・権限悪用の観点で注目される。
概要
サブカテゴリは Audit Other Object Access Events。COM+(コンポーネントをサーバーアプリとして登録・実行する仕組み)のカタログに登録されたオブジェクトが変更されると生成される。
発生契機・方法
- COM+ アプリケーションやコンポーネントの構成変更(実行 ID、登録 DLL、権限などの変更)。
セキュリティ上の確認事項
- COM+ コンポーネントは特定の ID(多くは特権アカウント)で動作しうる。攻撃者が COM+ オブジェクトを書き換えて悪性コードを実行させる・高権限で常駐させる(永続化)可能性がある。変更内容(実行 ID、参照 DLL)を確認する。
- 追加 5890・削除 5889 と併せ、COM+ 構成の変更を追う。想定外の主体による変更に注目する。
ログレビュー時の注意観点
- 正規のアプリ導入・更新でも発生する。変更された COM+ アプリ・主体の正常パターンと照合する。
- 実行 ID の特権化や、見慣れない DLL の参照に注目する。
主なフィールド
| フィールド | 意味 |
|---|---|
| 対象オブジェクト | 変更された COM+ オブジェクト |
Subject\Account Name | 変更を行った主体 |