- 目次
- セキュリティログ監査の設定に関する注意事項
- SecurityイベントログのカテゴリとイベントID
- 組織レベルでは、グループポリシーまたはInTuneを使用して、Securityログの監査ポリシーを設定することができます。スタンドアロン端末の場合は、ローカルセキュリティポリシーエディタ(
gpedit.msc)で設定できます。また、PowerShellスクリプトやauditpolなどのビルトインコマンドを組み込んだBatchスクリプトを使用して、スタンドアロン端末およびスタートアップスクリプトで組織レベルの端末を設定することもできます。 - Securityログ監査は、大まかなカテゴリレベルではなく、より細かい設定ができるサブカテゴリレベル(グループポリシーの
コンピュータの構成 > Windowsの設定 > セキュリティの設定 > セキュリティ監査ポリシーの詳細設定 > システム監査ポリシー)で有効にすべきです。カテゴリレベルで設定してしまうと、多くの不要のイベントが記録され、サブカテゴリレベルで行った詳細な設定が上書きされるリスクがあります。 - このドキュメントでは、そもそも実際に記録されていないイベントIDや監視・DFIR調査に役に立たないサブカテゴリとイベントIDについては記載していません。有効化すべきもののみ記載しています。
- 特定のイベントIDの有効化・無効化はできず、最も細かい設定レベルはサブカテゴリになります。たまにいくつかのノイズが多いイベントIDが記録されますが、サブカテゴリ全体を無効にしない限り、無効にできないのが残念です。
- Sigmaルールの数は、2022/09/24で取得しました。あるイベントについてSigmaルールが少ないとしても、そのイベントが重要でないことを意味するわけではないことに注意して下さい。
ボリューム: NTLMの使用による。ドメインコントローラでは高
デフォルトの設定: クライアントOS: 監査なし | サーバOS: 成功
推奨設定: クライアントOSとサーバOS: 成功と失敗
Sigmaルールの例:
Metasploit SMB Authentication: MetasploitのSMB攻撃の検知Valid Users Failing to Authenticate from Single Source Using NTLM: パスワード推測攻撃Invalid Users Failing To Authenticate From Single Source Using NTLM: ユーザ名の推測Failed Logins with Different Accounts from Single Source System: パスワードスプレー攻撃
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4776 | ローカルユーザアカウントのNTLM認証 | 5 | あり | Info~High | 元のイベントメッセージにはDCのみと書かれているが、このイベントはクライアントOSのローカル認証でもログに記録される。 |
注意:ドメインコントローラのみ有効
ボリューム: 高
デフォルトの設定: クライアントOS: 監査なし | サーバOS: 成功
推奨設定: クライアントOS: 監査なし | サーバOS: 成功と失敗
Sigmaルールの例:
(4768) (High) PetitPotam Suspicious Kerberos TGT Request(4768) (Med) Disabled Users Failing To Authenticate From Source Using Kerberos(4768) (Med) Invalid Users Failing To Authenticate From Source Using Kerberos: ユーザ名の推測(4771) (Med) Valid Users Failing to Authenticate From Single Source Using Kerberos: パスワード推測攻撃
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4768 | TGTが要求された | 3 | あり | Info~High | |
| 4771 | 事前認証に失敗した | 1 | 現在はなし | Info~Med | |
| 4772 | Kerberos認証チケット要求が失敗した | 0 | なし | None | 実際は使われていない。代わりにイベントID 4768の失敗イベントが使われている。 |
注意:ドメインコントローラのみ有効
ボリューム: 高
デフォルトの設定: クライアントOS: 監査なし | サーバOS: 成功
推奨設定: クライアントOS: 監査なし | サーバOS: 成功と失敗
Sigmaルールの例:
(4769) (Med) Suspicious Kerberos RC4 Ticket Encryption: RC4暗号化を用いたサービスチケットリクエストの検知。 これはレガシーな暗号化を利用した古いシステムもしくはKerberoasting(パスワードクラッキング)の可能性がある
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4769 | Kerberosサービスチケットが要求された | 1 | あり | Info~Med | |
| 4770 | Kerberosサービスチケットが更新された | 0 | 現在はなし | Info | |
| 4773 | Kerberosサービスチケット要求が失敗した | 0 | なし | None | 実際は使われていない。代わりに4769が使われている。 |
注意: 以下のイベントは、ドメインコントローラのみで生成される
ボリューム: 低
デフォルトの設定: クライアントOS: 監査なし | サーバOS: 成功のみ
推奨設定: 成功と失敗
Sigmaルールの例:
(4742) (Med) Possible DC Shadow: 新規SPNによるDCShadow攻撃の検知
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4741 | コンピュータアカウントが作成された | 0 | 現在はなし | Info | おそらく稀なイベント。 |
| 4742 | コンピュータアカウントが変更された | 1 | 現在はなし | Info~Med | |
| 4743 | コンピュータアカウントが削除された | 0 | 現在はなし | Info | おそらく稀なイベント。 |
ボリューム: 低
デフォルトの設定: 監査なし
推奨設定: 成功と失敗
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4782 | アカウントのパスワードハッシュがアクセスされた | 0 | 現在はなし | Info | AD Migration Toolkitを使用したアカウントのパスワード移行時、または攻撃者がパスワードハッシュにアクセスしようとした際にDC上で生成される。おそらく稀なイベント。 |
| 4793 | パスワードポリシーチェックAPIが呼び出された | 0 | 現在はなし | Low | パスワードリセット時や攻撃者がパスワードポリシーをチェックする際に生成される。おそらく稀なイベント。 |
「セキュリティが有効なグループ」とはアクセス権(ACL)を付与することができるグループのことです。「セキュリティが無効なグループ」はアクセス権を割り当てられない「ディストリビューショングループ」です。セキュリティが有効なグループが最も一般的であるため、ここでは単に「グループ」と呼ぶことにします。例えば、「セキュリティが有効なローカルグループが作成された」の代わりに、「ローカルグループが作成された」というイベントタイトルにしました。
ドメインローカルグループは、ユニバーサルグループ、グローバルグループ、自ドメインの他のドメインローカルグループ、およびフォレスト内の任意のドメインのアカウントを含むことができるセキュリティまたは配布グループです。ドメインローカルセキュリティグループには、ドメインローカルグループが配置されている同じドメイン内にのみ存在するリソースに対するアクセス許可と権限を与えることができます。
グローバルグループは、自身のドメイン、ドメインのサーバと端末、および信頼するドメインで使用することができるグループです。それらのすべての場所で、グローバルグループに権限を与え、グローバルグループはローカルグループのメンバーになることができます。ただし、グローバルグループには、そのドメインに所属するユーザアカウントのみを含めることができます。
ユニバーサルグループは、そのフォレスト内の任意のドメインのユーザ、グループ、および端末をメンバーとして含むセキュリティまたは配布グループです。ユニバーサルセキュリティグループには、フォレスト内のどのドメイン内のリソースに対してもアクセス許可と権限を与えることができます。
ボリューム: 低
デフォルトの設定: 成功
推奨設定: 成功と失敗
Sigmaルールの例:
(4732) (Med) User Added to Local Administrators(4799) (High) Operation Wocao Activity: 中国政府によるスパイ活動の検知
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4727 | グローバルグループが作成された | 0 | 現在はなし | Info | |
| 4728 | グローバルグループにメンバーが追加された | 0 | あり | Info | |
| 4729 | グローバルグループからメンバーが削除された | 0 | 現在はなし | Info | |
| 4730 | グローバルグループが削除された | 0 | 現在はなし | Info | |
| 4731 | ローカルグループが作成された | 0 | 現在はなし | Info | |
| 4732 | ローカルグループにメンバーが追加された | 1 | あり | Info~Med | |
| 4733 | ローカルグループからメンバーが削除された | 0 | 現在はなし | Info | |
| 4734 | ローカルグループが削除された | 0 | 現在はなし | Info | |
| 4737 | グローバルグループが変更された | 0 | 現在はなし | Info | |
| 4754 | ユニバーサルグループが作成された | 0 | 現在はなし | Info | |
| 4755 | ユニバーサルグループが変更された | 0 | 現在はなし | Info | |
| 4756 | ユニバーサルグループにメンバーが追加された | 0 | 現在はなし | Info | |
| 4757 | ユニバーサルグループからメンバーが削除された | 0 | 現在はなし | Info | |
| 4758 | ユニバーサルグループが削除された | 0 | 現在はなし | Info | |
| 4764 | グループの種類が変更された | 0 | 現在はなし | Info | |
| 4799 | ローカルグループメンバーシップが列挙された | 1 | 現在はなし | Info~High | これは、多くの誤検知を生む「4672」管理者ログオンイベントとおそらくほぼ同じくらいノイズの多い。 |
ボリューム: 低
デフォルトの設定: 成功
推奨設定: 成功と失敗
Sigmaルールの例:
(4720) (High) Hidden Local User Creation: バックドアアカウントとして使用されている可能性が高い隠しユーザアカウントを検出した(4720) (High) Suspicious Windows ANONYMOUS LOGON Local Account Created(4720) (Low) Local User Creation(4738) (High) Active Directory User Backdoors(4738) (High) Weak Encryption Enabled and Kerberoast(4765, 4766, 4738) (Med) Addition of SID History to Active Directory Object: 攻撃者が追加の権限を得るためにSID履歴を用いた可能性がある(5145, 4738) (Med) Possible Remote Password Change Through SAMR: SAMR APIのSamiChangePasswordUser() または SamSetInformationUser()を通して、NTLMハッシュの変更が遠隔で行われた可能性がある(4781) (High) Suspicious Computer Account Name Change CVE-2021-42287: CVE-2021-42287に対しての攻撃に見られる$シンボルが含まれていない既存コンピュータアカウントの変更を検知する(4794) (High) Password Change on Directory Service Restore Mode (DSRM) Account: ドメインコントローラにおいてディレクトリサービス復元モード(DSRM) アカウントがローカル管理者アカウントとして存在している。攻撃者が永続化を行うためにパスワードを変更した可能性がある
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4720 | ユーザアカウントが作成された | 3 | あり | Info~High | |
| 4722 | ユーザアカウントが有効になった | 0 | 現在はなし | Info | |
| 4723 | パスワードを変更しようとした | 0 | 現在はなし | Info | |
| 4724 | パスワードのリセットが試行された | 0 | 現在はなし | Info | |
| 4725 | ユーザアカウントが無効になった | 0 | 現在はなし | Info | |
| 4726 | ユーザアカウントが削除された | 0 | 現在はなし | Info | |
| 4738 | ユーザアカウントが変更された | 4 | 現在はなし | Info~High | |
| 4740 | ユーザアカウントがロックアウトされた | 0 | 現在はなし | Med | おそらく稀なイベント。 |
| 4765 | SID履歴がアカウントに追加された | 1 | 現在はなし | Info~Med | |
| 4766 | アカウントにSID履歴を追加する試みは失敗した | 0 | 現在はなし | Info~Med | |
| 4767 | ユーザアカウントのロックが解除された | 0 | 現在はなし | Info | |
| 4780 | 管理者グループのメンバーであるアカウントにACLが設定された | 0 | 現在はなし | Info | |
| 4781 | アカウントの名前が変更された | 1 | 現在はなし | Info | |
| 4794 | DSRM管理者のパスワード設定 | 1 | 現在はなし | Info~High | |
| 4798 | ユーザローカルグループメンバーシップが列挙された | 0 | 現在はなし | Info | |
| 5376 | 資格情報マネージャの資格情報がバックアップされた | 0 | 現在はなし | Info | |
| 5377 | 資格情報マネージャの資格情報がバックアップから復元された | 0 | 現在はなし | Info |
物理的な攻撃(Rubber Ducky攻撃など)や、誰かがUSBデバイスを介してデータを流出させたことを追跡したい場合に重要です。
ボリューム: 通常、低い
デフォルトの設定: 監査なし
推奨設定: 成功と失敗
Sigmaルールの例:
(6416) External Disk Drive Or USB Storage Device
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 6416 | 新規外部デバイスが認識された | 1 | 現在はなし | Info~Low | |
| 6419 | デバイスを無効にする要求 | 0 | なし | Info | |
| 6420 | デバイスが無効にされた | 0 | なし | Info | |
| 6421 | デバイスを有効にする要求 | 0 | なし | Info | |
| 6422 | デバイスが有効にされた | 0 | なし | Info | |
| 6423 | デバイスのインストールが拒否された | 0 | なし | Info | |
| 6424 | 以前拒否されたデバイスのインストールが許可された | 0 | なし | Info |
注意: 非常に重要なコマンドライン情報のログを取るには、別の設定を有効にする必要があります。グループポリシーでは コンピュータの構成 > Windowsの設定 > 管理用テンプレート > システム > プロセス作成の監査 > プロセス作成イベントにコマンドラインを含める の手順で有効にすることが出来ます。
Sigmaルールの約半分は、コマンドラインオプションを有効にしたプロセス作成に依存しています。Sysmonをインストールし、プロセス作成を監視するように設定していない場合は、Securityログでプロセス作成イベントを有効にした方が良いです。
ボリューム: 高
デフォルトの設定: 監査なし
推奨設定: Sysmonがインストールされていない場合は成功と失敗
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4688 | プロセス作成 | 902 | あり | Info~Crit | |
| 4696 | プライマリトークンがプロセスに割り当てされた | 0 | なし | Info | Win 7/2008 R2 からこのイベントは非推奨になっている。そのため、Vista/2008 でのみ生成される。 |
ファイル容量を節約するために、無効にしておくと良いでしょう。
ボリューム: 高
デフォルトの設定: 監査なし
推奨設定: プロセスのライフスパンを追跡したいのでなければ監査なし
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4689 | プロセス終了 | 1 | 現在はなし | Info |
ボリューム: RPCサーバでは高い (Microsoftによると)
デフォルトの設定: 監査なし
推奨設定: 不明。テストが必要。
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 5712 | RPCの試行 | 0 | 現在はなし | ? | RPC要求の受信が行われたときに記録される。 |
ボリューム: 不明
デフォルトの設定: 監査なし
推奨設定: 不明。テストが必要。
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4703 | ユーザ権利の調整 | 0 | 現在はなし | Info | おそらく稀なイベント。 |
注意:ドメインコントローラのみ有効
ボリューム: 高
デフォルトの設定: クライアントOS: 監査なし | サーバOS: 成功
推奨設定: クライアントOS: 監査なし | ADDS Server: 成功と失敗
Sigmaルールの例:
(4662) (Crit) AD Object WriteDAC Access(4662) (Crit) Active Directory Replication from Non Machine Account(4662) (Med) AD User Enumeration: マシンアカウントでないアカウントからドメインユーザに対してのアクセスを検知する("Everyone"プリンシパルに対するユーザオブジェクトで「すべてのプロパティの読み取り」権限が必要)(4662) (High) DPAPI Domain Backup Key Extraction: ドメインコントローラからLSAシークレットDPAPIドメインバックアップキーがツールによって取り出されたことを検知する(4662) (Med) WMI Persistence: WMIを通じたautostartsマルウェアを検知する
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4661 | オブジェクトハンドル要求 | 2 | 現在はなし | Info~Crit | |
| 4662 | オブジェクトに対する操作 | 6 | 現在はなし | Info~Crit |
ボリューム: 高
デフォルトの設定: 監査なし
推奨設定: クライアントOS: 監査なし | ADDS Server: 成功と失敗
Sigmaルールの例:
(5136) (High) Powerview Add-DomainObjectAcl DCSync AD Extend Right: Backdooring domain object to grant the rights associated with DCSync to a regular user or machine account.(5136) (High) Active Directory User Backdoors: Detects scenarios where one can control another users or computers account without having to use their credentials.(5136) (Med) Possible DC Shadow(5136) (High) Suspicious LDAP-Attributes Used: Detects LDAPFragger, a C2 tool that lets attackers route Cobalt Strike beacon data over LDAP attributes.
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 5136 | ディレクトリサービスオブジェクトの変更 | 6 | 現在はなし | Info~Crit | |
| 5137 | ディレクトリサービスオブジェクトの作成 | 0 | 現在はなし | Info | |
| 5138 | ディレクトリサービスオブジェクトの復元 | 0 | 現在はなし | Info | |
| 5139 | ディレクトリサービスオブジェクトの移動 | 0 | 現在はなし | Info | |
| 5141 | ディレクトリサービスオブジェクトの削除 | 0 | 現在はなし | Info |
ボリューム: 低
デフォルトの設定: 成功
推奨設定: 成功と失敗
現在、アカウントロックアウトのSigmaルールはありません。
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4625 | ロックアウトによるログオンに失敗 | 0 | あり | Med | Substatus: 0xC0000234. おそらく稀なイベント。 |
ユーザがログインしたときにどのグループに属しているかを記録します。
ACSCのガイドでは、成功失敗が推奨されているが、ユーザがどのグループに属しているか簡単に調べられる場合はおそらく監査なしでも良いです。
ボリューム: ログオンがある度に、ユーザのグループメンバーシップについてのログが記録される
デフォルトの設定: 監査なし
推奨設定: 監査なし
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4627 | グループメンバーシップ情報 | 0 | 現在はなし | Info |
注意: 残念ながら、Windows はログオフ時にログオフ イベントを記録しないことがあります。
ボリューム: 高
デフォルトの設定: 成功
推奨設定: 成功
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4634 | ログオフ | 0 | あり | Info | |
| 4647 | ユーザがログオフした | 0 | あり | Info |
ボリューム: クライアントOSでは低。ドメインコントローラやネットワークサーバでは中
デフォルトの設定: クライアントOS: 成功 | サーバOS: 成功と失敗
推奨設定: 成功と失敗
Sigmaルールの例:
(4624) (Low) Admin User Remote Logon(4624) (High) Successful Overpass the Hash Attempt(4624) (Med) Pass the Hash Activity(4624) (Med) RDP Login from Localhost(4624) (Low) Login with WMI(4624) (High) KrbRelayUp Attack Pattern(4624) (High) RottenPotato Like Attack Pattern(4625) (Med) Failed Logon From Public IP(4648) (Med) Suspicious Remote Logon with Explicit Credentials(4624) (High) Scanner PoC for CVE-2019-0708 RDP RCE Vuln: Detects scans for the BlueKeep vulnerability.(4625) (Med) Failed Logon From Public IP(4625) (Med) Multiple Users Failing to Authenticate from Single Process(4625) (Med) Multiple Users Remotely Failing To Authenticate From Single Source
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4624 | ログオン | 11 | あり | Info~High | |
| 4625 | ログオンに失敗 | 4 | あり | Info~Med | |
| 4648 | 明示的なログオン | 2 | あり | Info~Med | 発信元のホストに記録されます。 |
ボリューム: 低
デフォルトの設定: 監査なし
推奨設定: 成功と失敗
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4649 | Kerberos再生攻撃が検出された | 0 | 現在はなし | Med | おそらく稀なイベント。 |
| 4778 | セッションがウィンドウステーションに再接続された | 0 | あり | Info | RDPもしくはユーザの簡易切り替えのログが送信元の端末に記録される。 |
| 4779 | セッションがウィンドウステーションから切断された | 0 | あり | Info | RDPもしくはユーザの簡易切り替えのログが送信元の端末に記録される。 |
| 4800 | 端末がロックされた | 0 | 現在はなし | Info | |
| 4801 | 端末のロックが解除された | 0 | 現在はなし | Info | |
| 4802 | スクリーンセーバーが開始された | 0 | 現在はなし | Info | |
| 4803 | スクリーンセーバーが停止された | 0 | 現在はなし | Info | |
| 5378 | 要求された資格情報の委任は、ポリシーによって許可されない | 0 | なし | Info | 通常、WinRMダブルホップセッションのCredSSP委任が正しく設定されていない場合に発生する。 |
| 5632 | 無線ネットワークへの802.1x認証 | 0 | 現在はなし | Info | |
| 5633 | 有線ネットワークへの802.1x認証 | 0 | 現在はなし | Info |
「特別なグループ」と「特別な権限」は、「管理者グループ」と「管理者権限」と考えて良いです。
ボリューム: クライアントOSでは低。DCやネットワークサーバでは中
デフォルトの設定: 成功
推奨設定: 成功と失敗
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4672 | 管理者ログオン | 0 | あり | Info | |
| 4964 | 管理者グループからのログオン | 0 | 現在はなし | Info | おそらく稀なイベント。 |
注意: AD CSロールサービスを提供するサーバに対してのみ有効にします。
ボリューム: 低〜中
デフォルトの設定: 監査なし
推奨設定: ADCSロールのサーバでは成功と失敗
Sigmaルールの例:
(4898, 4899) (High) ADCS Certificate Template Configuration Vulnerability with Risky EKU(4898, 4899) (High) ADCS Certificate Template Configuration Vulnerability
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4898 | 証明書サービスがテンプレートをロードした | 2 | 現在はなし | Info~High | |
| 4899 | 証明書サービスがテンプレートの更新 | 2 | 現在はなし | Info~High |
注意: 多くのイベントIDが有効になります。SigmaルールがあるイベントIDだけ上記で記載されています。
ボリューム: ファイルサーバやDCでは非常に高いが、誰がどのファイルにアクセスしているかを追跡したり、さまざまな横展開等を検出したい場合は必要かもしれない。
注意: 共有フォルダにはSACL(システムアクセス制御リスト)がないので、すべてログに記録される。
デフォルトの設定: 監査なし
推奨設定: ノイズが多いため監査なし。可能であれば、有効にした方が良い。
Sigmaルールの例:
(5145) (Med) Remote Task Creation via ATSVC Named Pipe(5145) (High) Persistence and Execution at Scale via GPO Scheduled Task(5145) (High) Impacket PsExec Execution(5145) (High) Possible Impacket SecretDump Remote Activity(5145) (High) First Time Seen Remote Named Pipe(5145) (High) Possible PetitPotam Coerce Authentication Attempt(5145) (Med) Suspicious Access to Sensitive File Extensions(5145) (Med) Transferring Files with Credential Data via Network Shares
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 5145 | ネットワーク共有へのファイルアクセス | 17 | あり | Info~High |
ボリューム: ファイルサーバやドメインコントローラでは高
デフォルトの設定: 監査なし
推奨設定: 成功と失敗
Sigmaルールの例:
(5140) (Low) Access to ADMIN$ Share
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 5140 | ネットワーク共有への接続 | 1 | あり | Info~High | ファイルシステム監査と組み合わせることで、どのファイルがアクセスされたかを追跡できる。 |
| 5142 | ネットワーク共有が作成された | 0 | 現在はなし | Info | |
| 5143 | ネットワーク共有が変更された | 0 | 現在はなし | Info | |
| 5144 | ネットワーク共有が削除された | 0 | 現在はなし | Info | |
| 5168 | SMB/SMB2のSPNチェックに失敗 | 0 | 現在はなし | Info | おそらく稀なイベント。 |
アクセスログを記録するためには、ファイルやフォルダーに別途監査権限を設定する必要があります。 例えば、右クリックで「プロパティ」→「セキュリティ」タブ→「詳細設定」→「監査」タブを開き、プリンシパルと監視する権限を追加することで記録できます。 多くのファイルをログに記録するとノイズが多くなるため、機密ファイルへのアクセスを監視する場合にのみ使用することをお勧めします。
ボリューム: SACL設定による
デフォルトの設定: 監査なし
推奨設定: センシティブなファイルにSACLを設定すること
Sigmaルールの例:
(4663) (Med) ISO Image Mount(4663) (High) Suspicious Teams Application Related ObjectAcess Event: MS Teamsの認証トークンへのアクセスを検知する
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4656 | オブジェクトハンドル要求 | 0 | 現在はなし | Info | プロセスに適切な権限がない場合、失敗する。これらのイベントを記録するために、ハンドル操作 サブカテゴリを有効化する必要がある。 |
| 4658 | オブジェクトハンドルが閉じられた | 0 | 現在はなし | Info | これらのイベントを記録するために、ハンドル操作 サブカテゴリを有効化する必要がある。 |
| 4660 | オブジェクト削除 | 0 | 現在はなし | Info | |
| 4663 | オブジェクトアクセス | 2 | 現在はなし | Info~High | 4656と異なって、成功イベントしか記録されない。 |
| 4664 | ハードリンク作成の試行 | 0 | 現在はなし | Info | おそらく稀なイベント。 |
| 4670 | オブジェクト権限の変更 | 0 | 現在はなし | Info | |
| 4985 | トランザクション状態の変更 | 0 | なし | Info | トランザクションマネージャに使用され、セキュリティには関係ない。 |
| 5051 | ファイルが仮想化された | 0 | なし | Info | LUAFVの仮想化時にまれに発生する。セキュリティには関係ない。おそらく稀なイベント。 |
注意: イベントID 4656、4658、4660、4663は、レジストリ、ファイルシステムオブジェクトへのアクセス、リムーバブルストレージへのアクセスにも使用されていますが、個別に設定する必要があります。
WFP(Windows Filtering Platform)がポートバインディングやネットワーク接続を許可または遮断したときのログが記録されます。
ボリューム: 高
デフォルトの設定: 監査なし
推奨設定: 十分な容量があり、sysmonでネットワーク接続を監視していない場合は、成功失敗を推奨する。ただ、イベントが多発してしまう可能性が高い。
Sigmaルールの例:
(5156) (Med) Enumeration via the Global Catalog: Bloodhound等のツールを検知する。(5156) (High) RDP over Reverse SSH Tunnel WFP(5156) (High) Remote PowerShell Sessions Network Connections (WinRM)(5156) (High) Suspicious Outbound Kerberos Connection: Detects suspicious outbound network activity via kerberos default port indicating possible lateral movement or first stage PrivEsc via delegation.
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 5031 | WFPが受信接続を遮断した | 0 | 現在はなし | Info | |
| 5150 | WFPがパケットを遮断した | 0 | 現在はなし | Info | |
| 5151 | より限定的なWFPフィルターがパケットを遮断した | 0 | 現在はなし | Info | |
| 5154 | プロセスが通信を待ち受けている | 0 | 現在はなし | Info | |
| 5155 | プロセスの通信待受が拒否された | 0 | 現在はなし | Info | |
| 5156 | ネットワーク接続 | 4 | 現在はなし | Info~High | |
| 5157 | ネットワーク接続がブロックされた | 0 | 現在はなし | Info | |
| 5158 | プロセスがポートにバインドした | 0 | 現在はなし | Info | |
| 5159 | プロセスのポートバインドが拒否された | 0 | 現在はなし | Info |
ボリューム: 高
デフォルトの設定: 監査なし
推奨設定: 十分な容量があり、sysmonでネットワーク接続を監視していない場合は、成功失敗を推奨する。ただ、イベントが多発してしまう可能性が高い。
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 5152 | WFPがパケットを遮断した | 0 | 現在はなし | Info | |
| 5153 | より限定的なWFPフィルターがパケットを遮断した | 0 | 現在はなし | Info |
この機能は、主にカーネル開発者向けです。
ミューテックス、シンボリックリンク、名前付きパイプ等々のカーネルオブジェクトにアクセスしようとするイベントが記録されます。
SACLを持つカーネル・オブジェクトだけが、セキュリティ監査イベントを生成します。
デフォルトでは、カーネルオブジェクトにSACLが設定されていないため、監査されません。グローバルシステムオブジェクトのアクセスを監査する (GPO: コンピューターの構成 > Windowsの設定 > セキュリティの設定 > ローカルポリシー > セキュリティオプション > 監査: グローバルシステムオブジェクトのアクセスを監査する)を有効にすると、すべてのカーネルオブジェクトに対してSACLが設定され、すべてのカーネルオブジェクトへのアクセスが記録されます。しかし、不要なイベントを大量に発生させる可能性があるため、推奨できません。Windows 11では、監視すべきlsassプロセスへのアクセスはデフォルトで有効になっているようです。
ボリューム: グローバルシステムオブジェクトのアクセスを監査するが有効の場合、高
デフォルトの設定: 監査なし
推奨設定: 成功と失敗。ただし、4663: オブジェクトアクセスイベントが大量に生成されるため、グローバルシステムオブジェクトのアクセスを監査するの有効化を推奨しない。
Sigmaルールの例:
(4656) (High) Generic Password Dumper Activity on LSASS(4663) (Med) Suspicious Multiple File Rename Or Delete Occurred: Detects multiple file rename or delete events occurrence within a specified period of time by a same user (these events may indicate ransomware activity).
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4656 | オブジェクトハンドル要求 | 4 | 現在はなし | Info~High | このイベントを記録するには、ハンドルの操作サブカテゴリを有効にする必要がある。 |
| 4658 | オブジェクトハンドルが閉じられた | 0 | 現在はなし | Info | このイベントを記録するには、ハンドルの操作サブカテゴリを有効にする必要がある。 |
| 4660 | オブジェクト削除 | 0 | 現在はなし | Info | |
| 4663 | オブジェクトアクセス | 2 | 現在はなし | Info |
注意: イベントID 4656、4658、4660、4663は、レジストリ、ファイルシステムオブジェクトへのアクセス、リムーバブルストレージへのアクセスにも使用されていますが、個別に設定する必要があります。
このサブカテゴリを有効にすると、他のサブカテゴリの4656、4658、4661のイベントが有効になります。また、追加のイベント4690も有効になりますが、このイベントは調査には役立ちません。他のサブカテゴリでより有用なイベントを有効にするために、このサブカテゴリを有効にすることが推奨されます。
デフォルトの設定: 監査なし
推奨設定: 成功と失敗
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4690 | ハンドルをオブジェクトに複製しようとした | 0 | なし | Info | セキュリティには関係しない。 |
マルウェアは、しばしば永続性と横展開のためにタスクを悪用するので、有効にすることが重要です。
ボリューム: 低
デフォルトの設定: 監査なし
推奨設定: 成功と失敗
Sigmaルールの例:
(4698) (Low) Rare Schtasks Creations: Detects rare scheduled tasks creations that only appear a few times per time frame and could reveal password dumpers, backdoor installs or other types of malicious code.(4699) (Low) Scheduled Task Deletion
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4691 | オブジェクトへの間接アクセス | 0 | なし | Info | おそらく稀なイベント。 |
| 4698 | タスク作成 | 2 | あり | Info~High | |
| 4699 | タスク削除 | 1 | あり | Info~Low | |
| 4700 | タスクの有効化 | 0 | 現在はなし | Info | |
| 4701 | タスクの無効化 | 1 | 現在はなし | Info | |
| 4702 | タスク更新 | 0 | 現在はなし | Info | |
| 5148 | WFPがDoS攻撃を検知し、ソースパケットを遮断している | 0 | 現在はなし | Info | |
| 5149 | DoS攻撃は沈静化し、通常の処理が再開された | 0 | 現在はなし | Info | |
| 5888 | COM+カタログオブジェクト変更 | 0 | 現在はなし | Info | |
| 5889 | COM+カタログオブジェクト削除 | 0 | 現在はなし | Info | |
| 5890 | COM+カタログオブジェクト作成 | 0 | 現在はなし | Info |
多くの攻撃やマルウェアはレジストリを悪用するため、レジストリに証拠がよく残されますが、検知に必要なものだけをログに残すことは難しく、グローバルにすべてのレジストリへのアクセスを有効にすると、イベントの量が極端に増え、パフォーマンスが低下するリスクもあります。
ボリューム: SACLの設定による
デフォルトの設定: 監査なし
推奨設定: 監視したいレジストリキーのみSACLを設定すること
Sigmaルールの例:
(4656) (High) SAM Registry Hive Handle Request: Attackers will try to access the SAM registry hive to obtain password hashes.(4656) (Med) SCM Database Handle Failure: Detects non-system users failing to get a handle of the SCM database.(4657) (High) COMPlus_ETWEnabled Registry Modification: Potential adversaries stopping ETW providers recording loaded .NET assemblies.(4657) (High) NetNTLM Downgrade Attack(4657) (High) Sysmon Channel Reference Deletion: Potential threat actor tampering with Sysmon manifest and eventually disabling it.(4657) (High) Creation of a Local Hidden User Account by Registry(4657) (High) UAC Bypass via Sdclt(4657) (High) Disable Security Events Logging Adding Reg Key MiniNt(4657) (Crit) PrinterNightmare Mimimkatz Driver Name(4657) (Crit) Security Support Provider (SSP) Added to LSA Configuration: Detects the addition of a SSP to the registry. Upon a reboot or API call, SSP DLLs gain access to encrypted and plaintext passwords stored in Windows.(4657) (High) Suspicious Run Key from Download(4657) (High) Suspicious Camera and Microphone Access(4657) (Low) Usage of Sysinternals Tools(4657) (Med) Common Autorun Keys Modification(4657) (High) Disable Sysmon Event Logging Via Registry
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4656 | オブジェクトハンドル要求 | 2 | 現在はなし | Info~High | このイベントを記録するには、ハンドルの操作サブカテゴリを有効にする必要がある。 |
| 4657 | レジストリ値の変更 | 182 | 現在はなし | Info~High | |
| 4658 | オブジェクトハンドルが閉じられた | 0 | なし | Info | このイベントを記録するには、ハンドルの操作サブカテゴリを有効にする必要がある。 |
| 4660 | オブジェクト削除 | 0 | 現在はなし | Info | |
| 4663 | オブジェクトアクセス | 0 | Not Yet | Info~? | |
| 4670 | オブジェクト権限の変更 | 0 | 現在はなし | Info~? |
注意: イベントID 4656、4658、4660、4663、4670は、カーネル、ファイルシステムオブジェクトへのアクセス、リムーバブルストレージへのアクセスにも使用されていますが、個別に設定する必要があります。
SACLの設定に関係なく、リムーバブルストレージへのすべてのファイルアクセスがログに記録されます。 USBストレージ経由でデータを流出させる従業員などを追跡したい場合は有効にすると良いでしょう。
ボリューム: リムーバブルストレージの使用量に依存する
デフォルトの設定: 監査なし
推奨設定: 外付けデバイスの使用を監視したい場合は成功と失敗
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4656 | オブジェクトハンドル要求 | 0 | 現在はなし | Info | このイベントを記録するには、ハンドルの操作サブカテゴリを有効にする必要がある。 |
| 4658 | オブジェクトハンドルが閉じられた | 0 | 現在はなし | Info | このイベントを記録するには、ハンドルの操作サブカテゴリを有効にする必要がある。 |
| 4663 | オブジェクトアクセス | 0 | 現在はなし | Info |
注意: イベントID 4656、4658、4663は、レジストリ、カーネル、ファイルシステムオブジェクトへのアクセスにも使用されていますが、個別に設定する必要があります。
これは、ユーザおよびコンピュータアカウント、グループ、セキュリティ記述子などのSecurity Account Manager(SAMオブジェクトにアクセスしようとする試みを記録します。
ボリューム: ドメインコントローラでは高
デフォルトの設定: 監査なし
推奨設定: 可能であれば、成功失敗だが、ノイズが大きくなりすぎる可能性があるので、事前にテストしておく必要がある。
Sigmaルールの例:
(4661) (High) Reconnaissance Activity: Detects activity such as "net user administrator /domain" and "net group domain admins /domain".(4661) (High) AD Privileged Users or Groups Reconnaissance: Detect privileged users or groups recon based on 4661 eventid and known privileged users or groups SIDs.
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4661 | オブジェクトハンドル要求 | 2 | 現在はなし | Info~High | このイベントを記録するには、ハンドルの操作サブカテゴリを有効にする必要がある。 |
監査される監査ポリシーの変更には、次のものが含まれる:
- 監査ポリシーオブジェクトのアクセス許可と監査設定の変更 (
auditpol /set /sdコマンドの使用) - システム監査ポリシーの変更
- セキュリティイベントソースの登録と登録解除
- ユーザごとの監査設定の変更
- CrashOnAuditFail値の変更
- オブジェクトの監査設定の変更 (例: ファイルまたはレジストリキーのシステムアクセス制御リスト(SACL)の変更)
- 特別なグループリスト内の変更
ボリューム: 低
デフォルトの設定: 成功
推奨設定: 成功と失敗
Sigmaルールの例:
(4719) (High) Disabling Windows Event Auditing: ローカルGPOポリシーによるアンチフォレンジックの検知。
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4715 | オブジェクトの監査ポリシー(SACL)が変更された | 0 | 現在はなし | Info | 監査ポリシーの変更の設定に関係なくログが記録される。 |
| 4719 | システム監査ポリシーが変更された | 1 | 現在はなし | Info~High | 監査ポリシーの変更の設定に関係なくログが記録される。 |
| 4817 | オブジェクトの監査設定が変更された | 0 | 現在はなし | Info | 監査ポリシーの変更の設定に関係なくログが記録される。 |
| 4902 | ユーザごとの監査ポリシーテーブルが作成された | 0 | 現在はなし | Info | おそらく稀なイベント。 |
| 4904 | セキュリティイベントソースの登録が試行された | 0 | 現在はなし | Info | |
| 4905 | セキュリティイベントソース登録の解除が試行された | 0 | 現在はなし | Info | |
| 4906 | CrashOnAuditFailの値が変更された | 0 | なし | Info | 監査ポリシーの変更の設定に関係なくログが記録される。 |
| 4907 | オブジェクトの監査設定が変更された | 0 | 現在はなし | Info | おそらく稀なイベント。 |
| 4908 | 特別なグループログオンテーブルが変更された | 0 | 現在はなし | Low | 監査ポリシーの変更の設定に関係なくログが記録される。 |
| 4912 | ユーザごとの監査ポリシーが変更された | 0 | 現在はなし | Low | 監査ポリシーの変更の設定に関係なくログが記録される。 |
認証ポリシーに加えた変更は次のとおり:
- フォレストとドメインの信頼の作成、変更、および削除。
コンピューターの構成 > Windows設定 > アカウントポリシー > KerberosポリシーのKerberosポリシー設定に対する変更。- ユーザまたはグループに次のユーザ ログオン権限が付与されている場合。
- ネットワークからこのコンピューターにアクセスする
- ローカルでのログオンを許可する
- リモートデスクトップ経由のログオンを許可する
- バッチジョブとしてのログオン
- サービスとしてのログオン
- 追加された信頼が既存の名前空間名と衝突する場合など、名前空間の競合。
この設定は、ドメインレベルおよびフォレストレベルの信頼と、ユーザアカウントまたはグループに付与される特権の変化を追跡するのに便利です。
ボリューム: 低
デフォルトの設定: 成功
推奨設定: 成功と失敗
Sigmaルールの例:
(4706) (Med) Addition of Domain Trusts: Addition of domains is seldom and should be verified for legitimacy.
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4670 | オブジェクト権限の変更 | 0 | 現在はなし | Info | |
| 4706 | ドメインに新しい信頼が作成された | 1 | 現在はなし | Info~Med | |
| 4707 | ドメインへの信頼が削除された | 0 | 現在はなし | Med | |
| 4713 | Kerberosポリシーが変更された | 0 | 現在はなし | Info | |
| 4716 | 信頼できるドメイン情報が変更された | 0 | 現在はなし | Med | |
| 4717 | システムセキュリティアクセスがアカウントに付与された | 0 | 現在はなし | Info | |
| 4718 | システムセキュリティアクセスがアカウントから削除された | 0 | 現在はなし | Info | |
| 4739 | ドメイン ポリシーが変更された | 0 | 現在はなし | Med | |
| 4864 | 名前空間の競合が検出された | 0 | 現在はなし | Info | |
| 4865 | 信頼できるフォレスト情報エントリが追加された | 0 | 現在はなし | Info | |
| 4866 | 信頼できるフォレスト情報エントリが削除された | 0 | 現在はなし | Info | |
| 4867 | 信頼できるフォレスト情報エントリが変更された | 0 | 現在はなし | Info |
ユーザ権限ポリシーにおけるユーザ権限の割り当てと削除、セキュリティトークンオブジェクトの許可変更、リソース属性の変更、ファイルシステムオブジェクトのセントラルアクセスポリシーの変更を監査します。 ユーザ権限ポリシーの変更、またはファイルシステムオブジェクトに適用されるリソース属性やセントラルアクセスポリシーの変更に関連する情報を取得することができます。 ただし、AdjustPrivilegesToken APIを通じてシステム権限の変更を行うアプリケーションやシステムサービスを使用している場合は、イベントが大量に発生するため、有効にすることは推奨されません。
ボリューム: 中〜高
デフォルトの設定: 監査なし
推奨設定: 不明。テストが必要。
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4703 | ユーザ権利の調整 | 0 | Windows 10では、このイベントは、トークン権限を動的に調整するアプリケーションやサービスによって生成されます。例えば、Microsoft Endpoint Configuration Managerは、定期的にWMIクエリーを実行し、svchost.exeプロセスから大量のイベントを発生させます。 | ||
| 4704 | ユーザ権限の割り当て | 0 | |||
| 4705 | ユーザ権限の削除 | 0 | |||
| 4670 | オブジェクト権限の変更 | 0 | |||
| 4911 | オブジェクトのリソース属性が変更された | 0 | |||
| 4913 | オブジェクトの中央アクセスポリシーが変更された | 0 |
Windows Filtering Platform(WFP)の変更によって発生する以下のようなイベントを監査します:
- IPsecサービスの状態。
- IPsecポリシー設定の変更。
- フィルタープラットフォームベースWindowsポリシー設定に対する変更点。
- WFPプロバイダーとエンジンに対する変更。
ボリューム: 低
デフォルトの設定: 監査なし
推奨設定: 不明。テストが必要。
このサブカテゴリで有効にされるイベントが多すぎて、リストアップできません。現時点では、これらのイベントIDを使用するSigmaルールはありません。
「MPSSVCルールレベルポリシーの変更の監査」は、Microsoft Protection Service (MPSSVC.exe)のポリシールールが変更されたときに、OSが監査イベントを生成するかどうかを決定します。 Windowsファイアウォールで使用されるMicrosoft Protection Serviceは、マルウェアからコンピュータの脅威を防ぐために不可欠なものです。 記録されるアクティビティは以下の通り:
- ファイアウォール(
FW)開始時のポリシー - FWルールの変更
- FW例外リストの変更
- FW設定の変更
- FWルールの適用と無視
- FWのグループポリシー設定の変更
FWルールの変更は、端末のセキュリティ状態を把握し、ネットワーク攻撃からどの程度保護されているかを知るために重要です。
ボリューム: 低
デフォルトの設定: 監査なし
推奨設定: 不明。テストが必要。
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4944 | FW起動時のポリシー | 0 | 現在はなし | Info | |
| 4945 | FW起動時のルール一覧表示 | 0 | 現在はなし | Info | |
| 4946 | FW例外リストにルールが追加された | 0 | 現在はなし | Info | |
| 4947 | FW例外リストのルールが変更された | 0 | 現在はなし | Info | |
| 4948 | FW例外リストのルールが削除された | 0 | 現在はなし | Info | |
| 4949 | FWが既定値に復元された | 0 | 現在はなし | Info | |
| 4950 | FW設定が変更された | 0 | 現在はなし | Info | |
| 4951 | FWルールはメジャーバージョン番号を認識できないため、無視された | 0 | 現在はなし | Info | |
| 4952 | マイナーバージョン番号を認識できないため、FWルールの一部が無視された | 0 | 現在はなし | Info | |
| 4953 | FWルールをパースできなかった | 0 | 現在はなし | Info | |
| 4954 | GPOによるFWルールの変更 | 0 | 現在はなし | Info | |
| 4956 | FWのアクティブプロファイルが変更された | 0 | 現在はなし | Info | |
| 4957 | FWルールが適用されなかった | 0 | 現在はなし | Info | |
| 4958 | ルールが端末に設定されていない項目を参照しているため、FWはルールを適用しなかった | 0 | 現在はなし | Info |
現在、このサブカテゴリーにはSigmaルールはありません。
「その他のポリシー変更イベント」には、EFSデータ回復エージェントのポリシー変更、Windows Filtering Platformフィルタの変更、ローカルグループポリシー設定のセキュリティポリシー設定の更新状況、中央アクセスポリシーの変更、Cryptographic Next Generation(CNG)操作の詳細トラブルシューティングイベントについてのイベントが含まれています。
ボリューム: 低
デフォルトの設定: 監査なし
推奨設定: 監査なし。(※ACSCは成功失敗を推奨していますが、この場合5447 (A Windows Filtering Platform filter has been changed)というイベントが大量に発生してしまいます。)
このサブカテゴリで有効にされるイベントが多すぎて、リストアップできません。現時点ではこれらのイベントIDを使用するSigmaルールはありません。
以下の重要でない特権の使用イベントが記録されます:
- 資格情報マネージャーに信頼された呼び出し側としてアクセス
- ドメインにワークステーションを追加
- プロセスのメモリ クォータの増加
- 走査チェックのバイパス
- システム時刻の変更
- タイムゾーンの変更
- ページファイルの作成
- グローバルオブジェクトの作成
- 永続的共有オブジェクトの作成
- シンボリックリンクの作成
- リモートコンピューターからの強制シャットダウン
- プロセスワーキング セットの増加
- スケジューリング優先順位の繰り上げ
- メモリ内のページのロック
- オブジェクトラベルの変更
- ボリュームの保守タスクを実行
- 単一プロセスのプロファイル
- システムパフォーマンスのプロファイル
- ドッキングステーションからコンピューターを削除
- システムのシャットダウン
- ディレクトリサービスデータの同期化
ボリューム: とても高い
デフォルトの設定: 監査なし
推奨設定: 監査なし
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4673 | 特権サービスが呼び出された | 0 | |||
| 4674 | 特権オブジェクトに対する操作の試行 | 0 | |||
| 4985 | トランザクション状態の変更 | 0 |
注意: 重要でない特権の使用イベントと重要な特権の使用イベントは同じイベントIDを使用します。
以下の重要な特権の使用イベントが記録されます:
- オペレーティングシステムの一部として機能する
- ファイルとディレクトリのバックアップ
- ファイルとディレクトリの復元
- トークンオブジェクトの作成
- プログラムのデバッグ
- コンピュータとユーザアカウントに委任時の信頼を付与
- セキュリティ監査の生成
- 認証後にクライアントを偽装
- デバイスドライバーのロードとアンロード
- 監査とセキュリティログの管理
- ファームウェア環境値の修正
- プロセスレベルのトークンを置き換える
- ファイルとその他のオブジェクトの所有権の取得
「ファイルとディレクトリのバックアップ」と「ファイルとディレクトリの復元」の2つイベントを記録するのに、コンピューターの構成 > Windowsの設定 > セキュリティの設定 > ローカルポリシー > セキュリティオプション > 監査: グローバルシステムオブジェクトのアクセスを監査するのグループポリシー設定を有効にする必要があります。
しかし、イベントが大量に生成されるので、グループポリシー設定を有効化することはお勧めしません。
ボリューム: 高
デフォルトの設定: 監査なし
推奨設定: 成功と失敗だが、ノイズが多すぎる可能性がある
Sigmaルールの例:
(4673) (High) User Couldn't Call a Privileged Service 'LsaRegisterLogonProcess': The 'LsaRegisterLogonProcess' function verifies that the application making the function call is a logon process by checking that it has the SeTcbPrivilege privilege set. Possible Rubeus tries to get a handle to LSA.(4673) (Med) Suspicious Driver Loaded By User: Detects the loading of drivers via 'SeLoadDriverPrivilege' required to load or unload a device driver. With this privilege, the user can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. If you exclude privileged users/admins and processes, which are allowed to do so, you are maybe left with bad programs trying to load malicious kernel drivers. This will detect Ghost-In-The-Logs (https://github.com/bats3c/Ghost-In-The-Logs) and the usage of Sysinternals and various other tools. So you have to work with a whitelist to find the bad stuff.(4674) (Med) SCM Database Privileged Operation: Detects non-system users performing privileged operation os the SCM database.
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4673 | 特権サービスが呼び出された | 2 | 現在はなし | Info~High | |
| 4674 | 特権オブジェクトに対する操作の試行 | 1 | 現在はなし | Info~Med | |
| 4985 | トランザクション状態の変更 | 0 | 現在はなし | Info |
注意: 重要でない特権の使用イベントと重要な特権の使用イベントは同じイベントIDを使用します。
その他のシステムイベントの監査には、WindowsファイアウォールサービスとWindowsファイアウォールドライバーの開始および停止イベント、これらのサービスのエラーイベント、およびWindowsファイアウォールサービスポリシー処理エラーが含まれます:
- ファイアウォールサービスの起動とシャットダウン
- ファイアウォールサービスによるポリシーの処理
- 暗号化キーファイルと移行操作
- BranchCacheイベント
ボリューム: 低
デフォルトの設定: 成功と失敗
推奨設定: 不明。テストが必要。
このサブカテゴリで有効にされるイベントが多すぎて、リストアップできません。現時点では、これらのイベントIDを使用するSigmaルールはありません。
セキュリティ状態の変更には、端末起動、回復、シャットダウンの各イベント、システム時間の変更に関する情報が含まれています。
ボリューム: 低
デフォルトの設定: 成功
推奨設定: 成功と失敗
Sigmaルールの例:
(4616) Unauthorized System Time Modification: システム時刻改ざんの検知。
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4608 | 端末起動 | 0 | 現在はなし | Info | おそらく生成されないイベント。 |
| 4616 | システム時刻の変更 | 1 | 現在はなし | Low | |
| 4621 | 管理者がCrashOnAuditFailからシステムを回復した | 0 | なし | Info | おそらく稀なイベント。 |
認証パッケージ、通知パッケージ、またはセキュリティパッケージの読み込みに関する情報と、信頼できるログオンプロセス登録イベントに関する情報が含まれます:
- セキュリティ拡張機能コードが読み込まれます (認証、通知、セキュリティ パッケージなど)。セキュリティ拡張機能コードはLSAに登録され、ログオン試行の認証、ログオン要求の送信、アカウントまたはパスワードの変更の通知を受け取る際に使用され、信頼されます。この拡張コードの例は、KerberosやNTLMなどのセキュリティサポートプロバイダーです。
- サービスがインストールされています。サービスがサービスコントロールマネージャーに登録されると、監査ログが生成されます。監査ログには、サービス名、バイナリ、種類、開始の種類、およびサービスアカウントに関する情報が含まれます。
ボリューム: 低。ドメインコントローラでは高
デフォルトの設定: 監査なし
推奨設定: 成功と失敗
Sigmaルールの例:
(4611) (High) Register new Logon Process by Rubeus: Detects potential use of Rubeus via registered new trusted logon process.(4697) (High) Invoke-Obfuscation Obfuscated IEX Invocation(4697) (High) Invoke-Obfuscation Via Use Rundll32(4697) (High) Invoke-Obfuscation Via Use MSHTA(4697) (High) CobaltStrike Service Installations(4697) (High) Credential Dumping Tools Service Execution(4697) (Crit) Malicious Service Installations(4697) (Crit) Meterpreter or Cobalt Strike Getsystem Service Installation
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4610 | LSAが認証パッケージを読み込んだ | 0 | なし | ? | 許可リストで監視すべき。 |
| 4611 | 信頼できるログオンプロセスがLSAに登録された | 1 | 現在はなし | Low~High | SubjectフィールドがSYSTEMになっているはず。 |
| 4614 | SAMが通知パッケージを読み込んだ | 0 | なし | ? | おそらく稀なイベント。 |
| 4622 | LSAがセキュリティパッケージを読み込んだ | 0 | なし | ? | おそらく稀なイベント。 |
| 4697 | サービスインストール | 20 | あり | Info~High | このサブカテゴリでは最も重要なイベント。Win 10/2016以上が必要。 |
監査システム整合性は、オペレーティングシステムがセキュリティサブシステムの整合性に違反するイベントを監査するかどうかを決定します:
- 監査システムの障害により、監査イベントが失われた。
- プロセスは、クライアントの偽装、クライアントアドレス空間への返信、クライアントアドレス空間への読み取り、またはクライアントアドレス空間からの書き込みを行う試みで、無効なローカルプロシージャ呼び出し(LPC)ポートを使用した。
- リモートプロシージャ呼び出し(RPC)整合性違反が検出された。
- 実行可能ファイルの無効なハッシュ値を持つコード整合性違反が検出された。
- 暗号化タスクが実行された。
マイクロソフトによると、セキュリティサブシステムの整合性の違反は重大であり、潜在的なセキュリティ攻撃を示している可能性があります。
ボリューム: 低
デフォルトの設定: 成功と失敗
推奨設定: 成功と失敗
現在、このサブカテゴリーにはSigmaルールはありません。
| イベントID | タイトル | Sigmaルール数 | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|---|
| 4612 | リソース切れで一部のログが失われた可能性がある | 0 | 現在はなし | Med | 監視すべき。 |
| 4615 | LPCポートの使用が無効 | 0 | なし | Info | おそらく稀なイベント。 |
| 4618 | 監視対象のセキュリティイベントパターンが発生した | 0 | なし | None | このイベントは手動で呼び出された時だけ記録される。 |
| 4816 | RPCが受信メッセージの復号中に整合性違反が起こった | 0 | 現在はなし | Low | |
| 5038 | コード整合性エラー: イメージのハッシュ値が不正 | 0 | あり | Low | 元のイベントタイトル: コードの整合性により、ファイルのイメージ ハッシュが無効であると判断されました。 不正な変更が原因でファイルが破損している可能性があります。無効なハッシュは、ディスク デバイス エラーの可能性があることを示している可能性があります。 |
| 5056 | 暗号化の自己テストの実行 | 0 | なし | None | おそらく稀なイベント。 |
| 5057 | 暗号化プリミティブ操作の失敗 | 0 | なし | Info | おそらく稀なイベント。 |
| 5060 | 検証操作の失敗 | 0 | なし | Info | おそらく稀なイベント。 |
| 5061 | 暗号化操作 | 0 | なし | Info | おそらく稀なイベント。 |
| 5062 | カーネルモードの暗号化セルフテストの実行 | 0 | なし | Info | おそらく稀なイベント。 |
| 6281 | コード整合性エラー: イメージのページハッシュ値が不正 | 0 | あり | Low | 元のイベントタイトル: コード整合性により、イメージファイルのページハッシュが無効であると判断されました。ページハッシュなしでファイルに正しく署名されていないか、不正な変更が原因で破損している可能性があります。無効なハッシュは、潜在的なディスクデバイスエラーを示している可能性があります。 |
| 6410 | コード整合性エラー: 要件を満たしていない | 0 | あり | Low | 元のイベントタイトル: コードの整合性により、ファイルがプロセスに読み込むセキュリティ要件を満たしていないと判断されました。 |
ここですべてのファイルシステムとレジストリアクセスを記録するように設定できますが、非常に多くのログが生成されるため、実運用ではお勧めしません。
検出ルールを作成するときには、どのレジストリキーとファイルが変更されたかを調べるために、攻撃のシミュレーションを行う際に有効にすることが推奨されます。
デフォルト設定で有効になっている監視対象とすべきイベントを以下に示します。
| イベントID | タイトル | Hayabusaルールの有無 | レベル | 備考欄 |
|---|---|---|---|---|
| 1100 | イベントログサービスがシャットダウンされた | 現在はなし | Info | おそらく稀なイベント。 |
| 1101 | ログが中断された | 現在はなし | Med | おそらく稀なイベント。 |
| 1102 | 監査ログがクリアされた | あり | High | |
| 1104 | セキュリティログがいっぱいになった | 現在はなし | High | おそらく稀なイベント。 |
| 1108 | イベントログサービスのエラー | 現在はなし | Med | おそらく稀なイベント。 |