6419 デバイス無効化の要求

デバイスを無効化する要求が行われたときに記録される。デバイスの無効化操作の開始を捉える。

概要

サブカテゴリは Audit PNP Activity。あるデバイスを無効化する要求が出されると生成される。実際に無効化されたことは 6420 で示される。

発生契機・方法

デバイスマネージャや API、ポリシーによるデバイス無効化の要求。

セキュリティ上の確認事項

セキュリティに関わるデバイス（ネットワークアダプタ、TPM、監視用デバイス等）の無効化要求は、防御の弱体化や隔離回避につながりうる。対象デバイスと要求主体を確認する。
要求 6419 → 実行 6420 の流れで、何が無効化されたかを追う。想定外のデバイス無効化に注目する。

ログレビュー時の注意観点

正規の運用・トラブルシュートでも発生する。対象デバイス・主体の正常パターンと照合する。
セキュリティ関連デバイスの無効化を高優先で確認する。

主なフィールド

フィールド	意味
`Device ID`	対象デバイス
`Subject\Account Name`	要求を行った主体

参考

Microsoft Learn: 6419(S) A request was made to disable a device.