5890 COM+ カタログへのオブジェクト追加
COM+ カタログにオブジェクトが追加されたときに記録される。新しい COM+ コンポーネントの登録を捉え、永続化の観点で注目される。
概要
サブカテゴリは Audit Other Object Access Events。COM+ カタログに新しいオブジェクト(アプリケーション/コンポーネント)が追加されると生成される。変更 5888・削除 5889 と並ぶ COM+ 構成イベント。
発生契機・方法
- 新しい COM+ アプリケーション/コンポーネントの登録。
セキュリティ上の確認事項
- 攻撃者が独自の COM+ コンポーネントを登録し、特定の ID(特権アカウント)で常駐実行させて永続化に使う可能性がある。追加されたコンポーネントの実行 ID・参照 DLL・登録主体を確認する。
- 一時フォルダや非標準パスの DLL を参照する COM+ 登録、想定外の主体による追加に注目する。変更 5888 と併せて追う。
ログレビュー時の注意観点
- 正規のアプリ導入でも発生する。追加された COM+ アプリ・主体・参照 DLL の正常パターンと照合する。
- 高権限 ID での実行設定や、見慣れない DLL の登録を高優先で確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
| 追加オブジェクト | 登録された COM+ オブジェクト |
Subject\Account Name | 追加を行った主体 |