調査で Windows セキュリティ イベント ID 4688 を解釈する方法

イベント ID 4688 を解釈するには、イベント ログに含まれるさまざまなフィールドを理解することが重要です。 これらのフィールドを使用すると、あらゆる異常を検出し、プロセスの起源をそのソースまで追跡することができます。

• Creator Subject: このフィールドには、新しいプロセスの作成を要求したユーザー アカウントに関する情報が提供されます。 このフィールドはコンテキストを提供し、法医学調査員が異常を特定するのに役立ちます。 これには、次のようないくつかのサブフィールドが含まれます。

• • 「セキュリティ識別子 (SID)」によると Microsoft、SID はトラスティを識別するために使用される一意の値です。 これは、Windows マシン上のユーザーを識別するために使用されます。
  • アカウント名: SID は解決され、新しいプロセスの作成を開始したアカウントの名前が表示されます。
  • アカウント ドメイン: コンピュータが属するドメイン。
  • ログオン ID: ユーザーのログオン セッションを識別するために使用される一意の XNUMX 進値。 これを使用して、同じイベント ID を含むイベントを関連付けることができます。

• ターゲット サブジェクト: このフィールドには、プロセスが実行されているユーザー アカウントに関する情報が表示されます。 状況によっては、プロセス作成イベントで言及される主題は、プロセス終了イベントで言及される主題とは異なる場合があります。 したがって、作成者とターゲットが同じログオンを持っていない場合は、両方が同じプロセス ID を参照しているとしても、ターゲットのサブジェクトを含めることが重要です。 サブフィールドは、上記の作成者サブフィールドと同じです。
• プロセス情報: このフィールドには、作成されたプロセスに関する詳細情報が表示されます。 これには、次のようないくつかのサブフィールドが含まれます。

• • 新しいプロセス ID (PID): 新しいプロセスに割り当てられる一意の XNUMX 進値。 Windows オペレーティング システムは、アクティブなプロセスを追跡するためにこれを使用します。
  • 新しいプロセス名: 新しいプロセスを作成するために起動された実行可能ファイルの完全なパスと名前。
  • トークン評価の種類: トークン評価は、ユーザー アカウントに特定のアクションの実行が許可されているかどうかを判断するために Windows で採用されているセキュリティ メカニズムです。 プロセスが昇格された特権を要求するために使用するトークンのタイプは、「トークン評価タイプ」と呼ばれます。 このフィールドには 1 つの値が可能です。 タイプ 1936 (%%2) は、プロセスがデフォルトのユーザー トークンを使用しており、特別なアクセス許可を要求していないことを示します。 このフィールドでは、これが最も一般的な値です。 タイプ 1937 (%%3) は、プロセスが実行するための完全な管理者特権を要求し、それらの取得に成功したことを示します。 ユーザーが管理者としてアプリケーションまたはプロセスを実行すると、それが有効になります。 タイプ 1938 (%%XNUMX) は、プロセスが昇格された特権を要求したにもかかわらず、要求されたアクションの実行に必要な権限しか受け取らなかったことを示します。

• • 必須ラベル: プロセスに割り当てられた整合性ラベル。 
  • Creator Process ID: 新しいプロセスを開始したプロセスに割り当てられた一意の XNUMX 進値。 
  • Creator Process Name: 新しいプロセスを作成したプロセスのフルパスと名前。
  • プロセス コマンド ライン: 新しいプロセスを開始するためにコマンドに渡される引数に関する詳細を提供します。 これには、現在のディレクトリやハッシュなどのいくつかのサブフィールドが含まれます。