6416 新しい外部デバイスの認識
システムが新しい外部デバイスを認識したときに記録される。USB メモリ等の接続を捉え、データ持ち出しや不正デバイス持ち込みの検知に使える。
概要
サブカテゴリは Audit PNP Activity。プラグアンドプレイ(PnP)により新しい外部デバイス(USB ストレージ、HID、ネットワークアダプタ等)が認識されると生成される。デバイスの種別・識別子(ベンダ/プロダクト ID 等)・関与ユーザーが含まれる。
発生契機・方法
- USB メモリ・外付けドライブ・各種周辺機器などの新規接続。
セキュリティ上の確認事項
- データ持ち出し・不正デバイス: USB ストレージの接続は、データの持ち出し(情報漏えい)や、悪性デバイス(BadUSB、Rubber Ducky 等のキーストローク注入)の持ち込みに関わる。接続されたデバイスの種別・識別子を確認する。
- 接続後のリムーバブルストレージへの書き込み(4663、Audit Removable Storage)と相関し、何が持ち出されたかを追う。許可されていないデバイス ID の接続に注目する。
ログレビュー時の注意観点
- 通常の周辺機器接続でも発生する。デバイス種別・ベンダ/プロダクト ID をベースライン化し、未許可・未知のストレージデバイスに絞る。
- デバイス制御(USB 制限)を運用しているなら、禁止デバイスの接続試行 6423 と併せて見る。
主なフィールド
| フィールド | 意味 |
|---|---|
Device ID / Class | デバイスの識別子・種別 |
Vendor/Product | ベンダ/プロダクト情報 |
Subject\Account Name | 関与ユーザー |