はじめに
前回は、WindowsのOSや環境ごとのセキュリティ監査設定の推奨設定値を紹介し、その設定を簡単にできるようなスクリプトを紹介しました。今回は、実際に監査設定を行うにあたって検討に便利なように、MicrosoftのActive Directory をセキュリティで保護するためのベスト プラクティス から高度な監査ポリシー関連の情報を分かり易い表にまとめてみました。EventReporterによるWindowsセキュリティイベントログの収集に際して、皆様の要件にあった適切な監査設定を行う参考となれば幸いです。
高度な監査のサブカテゴリごとのログ量と潜在的危険性付きイベントIDのリスト
個々の監査のサブカテゴリの内容については、高度な監査ポリシーの構成にMicrosoftの詳細な説明があります。しかし、それなりの量がありますので、最初は概要がまとめられている同じサイトのActive Directory の侵害の兆候を監視するから読むのがよいでしょう。
それだけでは全体としてどのように監査設定すべきか検討しにくいと思われるので、今回はその中のサブカテゴリ毎のログ量と含まれるイベントIDを、一覧表にまとめました。この表から、どのイベントIDをログするにはどのサブカテゴリを設定すればよいか、そのときのログ量などが分かります。
更に、各イベントIDには同サイトの付録 L: 監視するイベントの表にある潜在的危険性が分かるように、色や太字やイタリック体を用いて区別して表示しています。
Microsoftによれば潜在的危険性の高、中、低は、高であれば一つでもあれば調査が必要で、中や低は予期せず発生した頻度が想定される基準より大幅に高ければ調査が必要です。その場合、中は低よりもその基準を低くする必要があります。
例えば、ログを受信するログサーバーやSIEMで監視する際に、中の方が低い発生頻度でウォーニングを上げて調査対象とすべきです。しかし、残念ながらMicrosoftは具体的な頻度の数値は提示していないので、ユーザーが個々のイベントIDの内容を理解して、もしくはログを取って様子を見ながらしきい値を検討する必要があります。
|
サブカテゴリ |
ログ量 | イベントIDリスト 潜在的危険性:太字赤:高、太字:中、標準:低、イタリック:記述なし |
|---|---|---|
|
システムの整合性 |
低 | 4612,4615,4618,4816,5038,5056,5057,5060,5061,5062,6281 |
|
セキュリティ システムの拡張 |
低 < DC |
4610,4611,4614,4622,4697 |
|
IPsec ドライバー |
低 |
4960,4961,4962,4963,4965,5478,5479,5480,5483,5484,5485 |
|
その他のシステム イベント |
低 |
5024,5025,5027,5028,5029,5030,5032,5033,5034,5035,5037, |
|
セキュリティ状態の変更 |
低 |
4608,4609,4616,4621 |
|
IPsec 拡張モード |
高 |
4978,4979,4980,4981,4982,4983,4984 |
|
特殊なログオン |
低 | 4964 |
|
IPsec メイン モード |
高 |
4646,4650,4651,4652,4653,4655,4976,5049,5453 |
|
アカウント ロックアウト |
低 |
4625 |
|
アクセス権 |
ー |
|
|
グループ メンバーシップ |
Client:低、 |
4627 |
|
ユーザー要求/デバイスの信頼性情報 |
Client:低、 |
4626 |
|
ネットワーク ポリシー サーバー |
NPS/ IAS: 中 or 高 |
6272,6273,6274,6275,6276,6277,6278,6279,6280 |
|
その他のログオン/ログオフ イベント |
低 | 4649,4778,4779,4800,4801,4802,4803,5378,5632,5633 |
|
ログオフ |
低 |
4634,4647 |
|
IPsec クイック モード |
高 |
4977,5451,5452 |
|
ログオン |
Client:低、 |
4624,4625,4648,4675 |
|
SAM |
DC:高 |
4659,4660,4661,4663 |
|
証明書サービス |
AD CS :中 or 低 | 4868,4869,4870,4871,4872,4873,4874,4875,4876,4877,4878,4879, |
|
生成されたアプリケーション |
アプリ/監査設定による |
4665,4666,4667,4668 |
|
カーネル オブジェクト |
グローバル システム オブジェクトの監査有効時:高 |
4659,4660,4661,4663 |
|
ファイルの共有 |
Fileサーバ/DC:高 |
5140,5142,5143,5144,5168 |
|
フィルタリング プラットフォーム パケットのドロップ |
高 |
5152,5153 |
|
フィルタリング プラットフォームの接続 |
高 |
5031,5140,5150,5151,5154,5155,5156,5157,5158,5159 |
|
その他のオブジェクト アクセス イベント |
低 |
4671,4691,4698,4699,4700,4701,4702,5148,5149,5888,5889,5890 |
|
詳細なファイル共有 |
Fileサーバ/DC:高い |
5145 |
|
リムーバブル記憶域 |
ー |
4656,4658,4663 |
|
集約型ポリシー ステージング |
File Server:ポリシーによっては |
4818 |
|
レジストリ |
レジストリ SACL構成による |
4657,5039 |
|
ファイル システム |
ファイル システム SACL 構成による |
4664,4985,5051 |
|
ハンドル操作 |
SACL の構成方法 によって異なる |
4656,4658,4690 |
|
重要でない特権の使用 |
非常に高い |
4672,4673,4674 |
|
その他の特権の使用イベント |
ー |
|
|
重要な特権の使用 |
高 |
4672,4673,4674 |
|
プロセス作成 |
システムの使用状況によって 異なる |
4688,4696 |
|
プロセス終了 |
システムの使用状況によって 異なる |
4689 |
|
DPAPI アクティビティ |
低 |
4692,4693,4694,4695 |
|
RPC イベント |
RPC サーバー: 高 |
5712 |
|
プラグ アンド プレイ イベント |
低 |
6416 |
|
トークン権限調整済みイベント |
高 |
4703 |
|
フィルタリング プラットフォームのポリシーの変更 |
低 |
4709,4710,4711,4712,5040,5041,5042,5043,5044,5045,5046,5047, |
|
MPSSVC ルールレベル ポリシーの変更 |
低 |
4944,4945,4946,4947,4948,4949,4950,4951,4952,4953,4954,4956, |
|
ポリシーの変更の承認 |
低 |
4704,4705,4706,4707,4714 |
|
ポリシーの変更の認証 |
低 |
4713,4716,4717,4718,4739,4864,4865,4866,4867 |
|
ポリシーの変更の監査 |
低 | 4715,4719,4817,4902,4904,4905,4906,4907,4908,4912 |
|
その他のポリシー変更イベント |
低 |
4670,4909,4910,5063,5064,5065,5066,5067,5068,5069,5070,5447, |
|
その他のアカウント管理イベント |
低 |
4782,4793 |
|
アプリケーション グループの管理 |
低 |
4783,4784,4785,4786,4787,4788,4789,4790 |
|
配布グループの管理 |
低 |
4744,4745,4746,4747,4748,4749,4750,4751,4752,4753,4759,4760, |
|
セキュリティ グループ管理 |
低 |
4727,4728,4729,4730,4731,4732,4733,4734,4735,4737,4754,4755, |
|
コンピューター アカウント管理 |
低 |
4741,4742,4743 |
|
ユーザー アカウント管理 |
低 | 4720,4722,4723,4724,4725,4726,4738,4740,4765,4766,4767,4780, |
|
ディレクトリ サービスの変更 |
DCのみ: 高 |
5136,5137,5138,5139,5141 |
|
ディレクトリ サービスのレプリケーション |
DC:中 |
4932,4933 |
|
詳細なディレクトリ サービス レプリケーション |
高 |
4928,4929,4930,4931,4934,4935,4936,4937 |
|
ディレクトリ サービス アクセス |
DC:中 |
4662 |
|
資格情報の確認 |
DC:高 |
4774,4775,4776,4777 |
|
Kerberos サービス チケット操作 |
KDC内DC: 高 |
4769,4770 |
|
その他のアカウント ログオン イベント |
ー | 4649,4778,4779,4800,4801,4802,4803,5378,5632,5633 |
|
Kerberos 認証サービス |
Kerberos キー配布サーバ:高 |
4768,4771,4772 |
凡例
| 名称 | 説明 |
|---|---|
| サブカテゴリ | 日本語のWindows OSの auditpol コマンドで使われるサブカテゴリ名(半角スペースも正しく入っており、この名称を使って監査設定できる) |
| CategoryID | 各サブカテゴリに対応したCategoryのID(5桁の十進数)。イベントビューアーで見た場合は、「詳細」タブの「System」の「Task」の数値であり、EventReporterではプロパティ、%category%と%categoryid%の値に対応している |
| GUID | サブカテゴリのGUIDの内、各サブカテゴリで変化する十六進数2桁の部分。例えばサブカテゴリ「システムの整合性」の場合は、全体は{0CCE9212-69AE-11D9-BED3-505054503030} であり、太字の12がその部分に当たる。GUIDを使えば、OSの言語に依存せずにauditpolコマンドで監査せっていができる |
| ログ量 | 高度な監査ポリシーの構成の各サブカテゴリの「イベントボリューム」の内容を要約して表示したもの。「メディア」は誤訳なので、「中」と表示 |
| イベントIDリスト | 高度な監査ポリシーの構成の各サブカテゴリの「イベント ID」のリストを表示 |
| 潜在的危険性 | 付録 L: 監視するイベントの「イベント ID テーブル」にある「潜在的危険性」を表示。「ミディアム」は分かりにくいので、「中」と表示 太字赤:高、太字:中、標準:低、イタリック:記述なし |
この表は大き過ぎて分かりにくいので、潜在的危険性が「高」や「中」のイベントIDに対してどのサブカテゴリの監査を設定すればよいかをまとめたものが次の表です。参考までに、サーバーやクライアントOS向けの「強い推奨」の設定値も載せました。「強い推奨」欄の記号の意味は、第二回の「Microsoftの推奨する監査設定」の表の<凡例>を見てください。
| カテゴリ | サブカテゴリ | 潜在的 危険性 の最大値 | サーバー 強い推奨 | クライア ント 強い推奨 |
|---|---|---|---|---|
| システム | システムの整合性 | 高 | 3 | 3 |
| システム | IPsec ドライバー | 中 | 3 | 3 |
| システム | その他のシステム イベント | 中 | ||
| システム | セキュリティ状態の変更 | 中 | 3 | 3 |
| ログオン/ログオフ | IPsec 拡張モード | 中 | ||
| ログオン/ログオフ | 特殊なログオン | 高 | 3 | 3 |
| ログオン/ログオフ | IPsec メイン モード | 中 | 0 IF:3 | 0 IF:3 |
| ログオン/ログオフ | ネットワーク ポリシー サーバー | 中 | ||
| ログオン/ログオフ | その他のログオン/ログオフ イベント | 高 | 3 | |
| ログオン/ログオフ | IPsec クイック モード | 中 | ||
| ログオン/ログオフ | ログオン | 中 | 3 | 3 |
| オブジェクト アクセス | 証明書サービス | 高 | ||
| 詳細追跡 | DPAPI アクティビティ | 中 | 3 | 3 |
| ポリシーの変更 | ポリシーの変更の承認 | 中 | ||
| ポリシーの変更 | ポリシーの変更の認証 | 中 | 3 | 3 |
| ポリシーの変更 | ポリシーの変更の監査 | 高 | 3 | 3 |
| ポリシーの変更 | その他のポリシー変更イベント | 中 | ||
| アカウント管理 | セキュリティ グループ管理 | 中 | 3 | 3 |
| アカウント管理 | ユーザー アカウント管理 | 高 | 3 | 3 |
| アカウント ログオン | その他のアカウント ログオン イベント | 高 | 3 | 3 |
表を見てお分かりのように、潜在的危険度が「高」や「中」であっても、推奨設定には入っていないサブカテゴリがかなりあります。例えばサーバーの「強い推奨」に対して「高」をカバーするためには、サブカテゴリ「証明書サービス」の監査を追加すればよいことが分かります。
同じく「中」をカバーするためには「その他のシステム イベント」「IPsec 拡張モード」「ネットワーク ポリシー サーバー」「証明書サービス」「ポリシーの変更の承認」「その他のポリシー変更イベント」の監査を追加する必要があります。
失敗の監査が必然的に多発するようなサブカテゴリでなければ、「成功および失敗」の監査を有効にすればよいでしょう。
「タスクのカテゴリ」(=サブカテゴリの英語名)とカテゴリID
イベントビューアーでセキュリティイベントを見ると「全般」のタブで「タスクのカテゴリ」が英語で表示されます。これは英語のサブカテゴリ名に相当します。一方「詳細」タブで見ると、このサブカテゴリ名はTaskの5桁の数字に対応しています。
EventReporterでは、前者は「イベント カテゴリ名」に対応し、後者は「イベント カテゴリ」に対応します。EventReporter内のプロパティとしては、それぞれ%catname%と%category%で表されます。%categoryid%も、%category%と中身は同じです。
実はEventReporterでは、最新のWindows Server 2025およびWindows 11でセキュリティログを採取した場合、「イベント カテゴリ名」(プロパティは%catname%)のログが2025年9月現在正しくありません。しかし、内部的に保持されている「イベント カテゴリ」(%category%)の数値は正しいので、このIDからサブカテゴリ名を知ることができます。
ですから、EventReporterではそのIDが入るプロパティである%category%もしくは%categoryid%の値をログすることで、%catname%(「タスクのカテゴリ」=英語のサブカテゴリ名)のログの代用ができます。この表を使えば日本語のサブカテゴリ名との対応も取れます。
個々のイベントIDの詳細
現在、MicrosoftのWeb上のユーザーガイドには、個々のイベントIDの日本語メッセージを詳述したものが存在しません。しかし、高度な監査ポリシーの構成には「イベント メッセージ」として、 付録 L: 監視するイベントには「イベントの概要」として日本語のメッセージ部分の一行目がリストになっています。個々のイベントIDを知るには、まずは、これらを参照するのがよいでしょう。
更なる詳細は、付録 Lの一番下の注意にあるように、以下のコマンドを実行することで取得できます。オプションに /f:XML を追加することでXMLフォーマットも出力できます。
wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true このコマンド等で英語のWindows OSで取得した情報のまとめは、「 Windows セキュリティ監査イベント」にExcel表となっておりますが、日本語版はありません。
また、このブログで本当はサブカテゴリごとに、親のカテゴリ名、GUID、カテゴリID、イベントIDとその潜在的危険性、ログ量、規定値、推奨値をまとめた一覧表をブログで直接ご紹介したいところです。しかし、表示欄の制限があるのでできませんでした。
そこで、セキュリティ監査イベント表の日本語版とこれまでのブログで紹介した情報を合わせて、セキュリティログの高度な監査とイベントIDに関する情報を集約したスプレッドシートを作成しました。EventReporter評価版ダウンロード特典として、見たいイベントを検索できる、イベント ログ管理のためのお役立ち資料として用意しておりますので、是非ご活用ください。
ダウンロードはこちら >
付録:基本監査による監査設定
このブログをここまで読んでみたけれども、少々大変そうなので、ログが増えてもいいので基本監査で大雑把に監査設定するレベルでよいという方もいらっしゃると思います。高度な監査は60項目ありますが、基本監査なら9のカテゴリに対して設定するだけで済むからです。
その場合の注意としては、基本監査と高度な監査を混用しないことが重要です。逆に高度な監査を使う、つまりサブカテゴリごとに監査設定するのであれば、基本監査のカテゴリで設定しないことが重要です。
ローカルセキュリティポリシーのセキュリティオプションの設定に、「監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする」という設定があります。これを有効にすることで、グループポリシーおよびローカルセキュリティポリシーの設定により、基本監査レベルの設定が上書きされることが防げると書かれています。
Windows 11やWindows Server 2025等では既定値が有効ですので、基本監査をグループポリシーやローカルセキュリティポリシーで行うのであれば、無効に設定する必要があります。しかし、この設定が有効であっても、auditpolコマンドで、カテゴリ単位で監査設定することは可能です。一度に複数のカテゴリを指定することもできますので、クライアントOS、一般のサーバー、DCの推奨値等をカバーする設定は以下のようにコマンド2つ以下でできます。
例えば、サーバーOSに対するベースラインの推奨設定をカーバーする基本監査設定は以下のコマンドでできます。
> auditpol /set /category:"詳細追跡" /success:enable /failure:disable
> auditpol /set /category:"アカウント ログオン","アカウント管理","ログオン/ログオフ","ポリシーの変更","システム" /success:enable /failure:enableサーバーOSに対するより強力な監査の推奨設定は以下のコマンドでできます。
> auditpol /set /category:"アカウント ログオン","アカウント管理","詳細追跡","ログオン/ログオフ","ポリシーの変更","システム" /success:enable /failure:enableDCサーバーに対しては、上記の/success:enable /failure:enableのコマンドにカテゴリの “DS アクセス” を追加するだけです。
リファレンス
今回の内容の元となったMicrosoftの高度な監査設定に関する解説のWebページの中でも、特に参照した箇所のリンクです。
- Active Directory をセキュリティで保護するためのベスト プラクティス
- Active Directory の侵害の兆候を監視する
- 高度な監査ポリシーの構成
- 付録 L: 監視するイベント
- Windows セキュリティ監査イベント(英語のセキュリティイベントIDの表があります)
参考になるジュピターの関連する話題のブログ
- Windowsイベントログから不正侵入を暴く
- 「疑わしい」Windowsイベントログを抽出して、イベントログを活用する
- Windowsイベントログの管理をラクに! EventReporterのご紹介
- EventReporterでWindowsセキュリティログを採取する(1)
- EventReporterでWindowsセキュリティログを採取する(2)
特典付き:評価版ダウンロード
EventReporter 評価版のダウンロード特典として、見たいイベントを検索できる、イベント ログ管理のためのお役立ち資料「Windows セキュリティイベントログのリファレンス」をご用意しました。このシリーズでご紹介した内容をすべて含む、WindowsのセキュリティログのイベントIDに関する情報を使いやすい表にまとめたものです。
EventReporter によるセキュリティログの採取、転送、更にはログサーバーでの調査等にご活用いただければ幸いです。
評価版は、30日間無料ですべての機能をご利用になれます。
簡単に検証が開始できますので、ぜひお気軽にお試しください。
おわりに
最後までお読みいただき、ありがとうございました。
今回の説明は、取り敢えずセキュリティログを取るならどんな設定があるのかというお話で、整理した内容をリファレンスとして使って頂ければと思います。それらの設定で取れるログで具体的に何が分かって、どういう対応ができるのかには触れられませんでした。中でもオブジェクト アクセスの監査については推奨設定もなく、ほぼ素通りでした。また、設定に関してもグループポリシー経由の設定についても触れていません。
そういった内容については、また機会を改めてこのブログで説明しますので、ご期待ください。
