6424 禁止後に許可されたデバイスインストール
以前はポリシーで禁止されていたデバイスのインストールが、許可された後に行われたときに記録される。デバイス制御の例外適用を捉える。
概要
サブカテゴリは Audit PNP Activity。一度は禁止 6423 されたデバイスについて、ポリシー変更や例外設定により許可された上でインストールされると生成される。
発生契機・方法
- 禁止されていたデバイスが、ポリシーの変更・例外許可を経てインストールされたとき。
セキュリティ上の確認事項
- 禁止デバイスが許可に転じてインストールされた点は、デバイス制御ポリシーの緩和を意味する。誰が・どのデバイスを・なぜ許可したかを確認する。攻撃者が制御を緩めて USB 等を持ち込む手口の可能性も考える。
- ポリシー変更(6144 や GPO 変更)と併せ、許可に至った経緯を追う。禁止 6423・新規認識 6416 と相関する。
ログレビュー時の注意観点
- デバイス制御を運用する環境で意味を持つ。禁止 → 許可の変化は重要な構成変更として確認する。
- 許可の主体・対象デバイス・タイミングが、正規の例外運用と整合するかを見る。
主なフィールド
| フィールド | 意味 |
|---|---|
Device ID / Class | 許可・インストールされたデバイス |
Subject\Account Name | 操作を行った主体 |