4732(S) セキュリティ有効なローカルグループにメンバーが追加されました。
4732(S): セキュリティ有効なローカルグループにメンバーが追加されました。
サブカテゴリ: セキュリティグループ管理の監査
イベントの説明:
このイベントは、新しいメンバーがセキュリティ有効な(セキュリティ)ローカルグループに追加されるたびに生成されます。
このイベントは、ドメインコントローラー、メンバーサーバー、およびワークステーションで生成されます。
追加されたメンバーごとに、別々の 4732 イベントが生成されます。
通常、4732 イベントの前に変更がない状態で “4735: セキュリティ有効なローカルグループが変更されました。” イベントが表示されます。
注 推奨事項については、このイベントのセキュリティ監視の推奨事項を参照してください。
イベント XML:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4732</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13826</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-08-19T03:02:38.563110400Z" />
<EventRecordID>174856</EventRecordID>
<Correlation />
<Execution ProcessID="512" ThreadID="1092" />
<Channel>Security</Channel>
<Computer>DC01.contoso.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="MemberName">CN=eadmin,CN=Users,DC=contoso,DC=local</Data>
<Data Name="MemberSid">S-1-5-21-3457937927-2839227994-823803824-500</Data>
<Data Name="TargetUserName">AccountOperators</Data>
<Data Name="TargetDomainName">CONTOSO</Data>
<Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-6605</Data>
<Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data>
<Data Name="SubjectUserName">dadmin</Data>
<Data Name="SubjectDomainName">CONTOSO</Data>
<Data Name="SubjectLogonId">0x3031e</Data>
<Data Name="PrivilegeList">-</Data>
</EventData>
</Event>
必要なサーバーの役割: なし。
最小 OS バージョン: Windows Server 2008, Windows Vista。
イベントバージョン: 0。
フィールドの説明:
サブジェクト:
- セキュリティ ID [タイプ = SID]: “グループへのメンバー追加”操作を要求したアカウントの SID。イベントビューアーは自動的に SID を解決し、アカウント名を表示しようとします。SID を解決できない場合、イベントにはソースデータが表示されます。
注 セキュリティ識別子 (SID) は、トラスティ(セキュリティプリンシパル)を識別するために使用される可変長の一意の値です。各アカウントには、Active Directory ドメインコントローラーなどの権限によって発行され、セキュリティデータベースに保存される一意の SID があります。ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンに配置します。システムは、アクセス トークン内の SID を使用して、以降のすべての Windows セキュリティとのやり取りでユーザーを識別します。SID がユーザーまたはグループの一意の識別子として使用された場合、それは他のユーザーまたはグループを識別するために再利用されることはありません。SID の詳細については、セキュリティ識別子を参照してください。
アカウント名 [タイプ = UnicodeString]: 「グループにメンバーを追加」操作を要求したアカウントの名前。
アカウントドメイン [タイプ = UnicodeString]: サブジェクトのドメインまたはコンピュータ名。形式は以下のように異なります:
ドメインのNETBIOS名の例: CONTOSO
小文字の完全ドメイン名: contoso.local
大文字の完全ドメイン名: CONTOSO.LOCAL
一部のよく知られたセキュリティプリンシパルの場合、例えばLOCAL SERVICEやANONYMOUS LOGON、このフィールドの値は「NT AUTHORITY」となります。
ローカルユーザーアカウントの場合、このフィールドにはこのアカウントが属するコンピュータまたはデバイスの名前が含まれます。例えば:「Win81」。
ログオンID [タイプ = HexInt64]: 16進数の値で、最近のイベントと同じログオンIDを含む可能性のあるイベントとこのイベントを関連付けるのに役立ちます。例えば、「4624: アカウントが正常にログオンされました。」
メンバー:
セキュリティID [タイプ = SID]: グループに追加されたアカウントのSID。イベントビューアーは自動的にSIDを解決し、グループ名を表示しようとします。SIDが解決できない場合、イベントにはソースデータが表示されます。
アカウント名 [タイプ = UnicodeString]: グループに追加されたアカウントの識別名。例えば:「CN=Auditor,CN=Users,DC=contoso,DC=local」。ローカルグループの場合、このフィールドには通常「-」の値が含まれます。新しいメンバーがドメインアカウントであっても同様です。一部のよく知られたセキュリティプリンシパルの場合、例えばLOCAL SERVICEやANONYMOUS LOGON、このフィールドの値は「-」となります。
注 LDAP APIはLDAPオブジェクトをその**識別名 (DN)**で参照します。DNはカンマで接続された相対識別名 (RDN) のシーケンスです。
RDNは属性とその値の形式で、attribute=value; という形を取ります。以下はRDN属性の例です:
• DC - domainComponent
• CN - commonName
• OU - organizationalUnitName
• O - organizationName
グループ:
セキュリティID [タイプ = SID]: 新しいメンバーが追加されたグループのSID。イベントビューアーは自動的にSIDを解決し、グループ名を表示しようとします。SIDが解決できない場合、イベントにはソースデータが表示されます。
グループ名 [タイプ = UnicodeString]: 新しいメンバーが追加されたグループの名前。例: ServiceDesk
グループドメイン [タイプ = UnicodeString]: 新しいメンバーが追加されたグループのドメインまたはコンピュータ名。形式はさまざまで、以下のようなものがあります:
ドメインNETBIOS名の例: CONTOSO
小文字の完全ドメイン名: contoso.local
大文字の完全ドメイン名: CONTOSO.LOCAL
ローカルグループの場合、このフィールドには新しいグループが属するコンピュータの名前が含まれます。例: “Win81”。
組み込みグループ: Builtin
追加情報:
- 特権 [タイプ = UnicodeString]: 操作中に使用されたユーザー特権のリスト。例: SeBackupPrivilege。このパラメータはイベントにキャプチャされない場合があり、その場合は「-」と表示されます。ユーザー特権の完全なリストは「表8. ユーザー特権」を参照してください。
セキュリティ監視の推奨事項
4732(S): セキュリティが有効なローカルグループにメンバーが追加されました。
| 必要な監視の種類 | 推奨事項 |
|---|---|
| ローカルまたはドメインセキュリティグループへのメンバーの追加: ローカルまたはドメインセキュリティグループへのメンバーの追加を監視する必要があるかもしれません。 | ローカルまたはドメインセキュリティグループにメンバーが追加されるたびに、誰がいつメンバーを追加したかを確認する必要がある場合、このイベントを監視してください。通常、このイベントは情報提供イベントとして使用され、必要に応じてレビューされます。 |
| 高価値のローカルまたはドメインセキュリティグループ: 組織内の重要なローカルまたはドメインセキュリティグループのリストがあり、これらのグループへの新しいメンバーの追加(またはその他の変更)を特に監視する必要があるかもしれません。重要なローカルまたはドメイングループの例としては、組み込みのローカル管理者グループ、ドメイン管理者、エンタープライズ管理者などがあります。 | 高価値のローカルまたはドメインセキュリティグループに対応する「グループ\グループ名」の値でこのイベントを監視してください。 |
| 高価値のアカウント: 各アクションを監視する必要がある高価値のドメインまたはローカルアカウントがあるかもしれません。高価値のアカウントの例としては、データベース管理者、組み込みのローカル管理者アカウント、ドメイン管理者、サービスアカウント、ドメインコントローラーアカウントなどがあります。 | 高価値のアカウントまたはアカウントに対応する**「サブジェクト\セキュリティID」および「メンバー\セキュリティID」**でこのイベントを監視してください。 |
| 異常または悪意のある行動: 異常を検出したり、潜在的な悪意のある行動を監視するための特定の要件があるかもしれません。例えば、勤務時間外のアカウント使用を監視する必要があるかもしれません。 | 異常または悪意のある行動を監視する場合、特定のアカウントがどのようにまたはいつ使用されているかを監視するために**「サブジェクト\セキュリティID」**(他の情報と共に)を使用してください。 |
| 非アクティブアカウント: 非アクティブ、無効、またはゲストアカウント、または使用されるべきでない他のアカウントがあるかもしれません。 | 使用されるべきでないアカウントに対応する**「サブジェクト\セキュリティID」および「メンバー\セキュリティID」**でこのイベントを監視してください。 |
| アカウント許可リスト: 特定のイベントに対応するアクションを実行することが許可されているアカウントの特定の許可リストがあるかもしれません。 | このイベントが「許可リストのみ」のアクションに対応する場合、許可リスト外のアカウントについて**「サブジェクト\セキュリティID」**を確認してください。 |
| 異なる種類のアカウント: 特定のアクションが特定のアカウントタイプ(例えば、ローカルまたはドメインアカウント、マシンまたはユーザーアカウント、ベンダーまたは従業員アカウントなど)によってのみ実行されることを確認したいかもしれません。 | このイベントが特定のアカウントタイプに対して監視したいアクションに対応する場合、アカウントタイプが期待通りであるかどうかを確認するために**「サブジェクト\セキュリティID」**を確認してください。 |
| 外部アカウント: 別のドメインからのアカウント、または特定のアクションを実行することが許可されていない「外部」アカウント(特定のイベントで表される)を監視しているかもしれません。 | 別のドメインからのアカウントまたは「外部」アカウントに対応する**「サブジェクト\アカウントドメイン」**についてこのイベントを監視してください。 |
| 使用制限のあるコンピュータまたはデバイス: 特定の人(アカウント)が通常はアクションを実行すべきでない特定のコンピュータ、マシン、またはデバイスがあるかもしれません。 | 懸念される**「サブジェクト\セキュリティID」によって実行されたアクションについて、ターゲットコンピュータ:**(または他のターゲットデバイス)を監視してください。 |
| アカウント命名規則: 組織にはアカウント名の特定の命名規則があるかもしれません。 | 命名規則に従わない名前について**「サブジェクト\アカウント名」**を監視してください。 |
| アカウントの種類(ユーザーまたはコンピュータ)と追加されたグループの不一致: コンピュータアカウントがユーザー用のグループに追加されたり、ユーザーアカウントがコンピュータ用のグループに追加されたりしないことを確認するために監視したいかもしれません。 | グループに追加されたアカウントの種類がグループの意図に合っているかどうかを確認するために監視してください。 |