調査で Windows セキュリティ イベント ID 4688 を解釈する方法

概要

による Microsoft、イベント ID (イベント識別子とも呼ばれます) は、特定のイベントを一意に識別します。 これは、Windows オペレーティング システムによって記録される各イベントに付加される数値識別子です。 識別子が提供するのは、 情報 発生したイベントについての情報が得られ、システム操作に関連する問題の特定とトラブルシューティングに使用できます。 この文脈におけるイベントとは、システムまたはシステム上でユーザーによって実行されるアクションを指します。 これらのイベントは、イベント ビューアを使用して Windows で表示できます。

新しいプロセスが作成されるたびに、イベント ID 4688 がログに記録されます。 これには、マシンによって実行される各プログラムと、その作成者、ターゲット、プログラムを開始したプロセスなどの識別データが文書化されます。 いくつかのイベントがイベント ID 4688 で記録されます。ログインすると、セッション マネージャー サブシステム (SMSS.exe) が起動され、イベント 4688 が記録されます。 システムがマルウェアに感染すると、マルウェアは実行する新しいプロセスを作成する可能性があります。 このようなプロセスは ID 4688 として文書化されます。

 

AWS の Ubuntu 20.04 に Redmine をデプロイする

イベントID 4688の解釈

イベント ID 4688 を解釈するには、イベント ログに含まれるさまざまなフィールドを理解することが重要です。 これらのフィールドを使用すると、あらゆる異常を検出し、プロセスの起源をそのソースまで追跡することができます。

• Creator Subject: このフィールドには、新しいプロセスの作成を要求したユーザー アカウントに関する情報が提供されます。 このフィールドはコンテキストを提供し、法医学調査員が異常を特定するのに役立ちます。 これには、次のようないくつかのサブフィールドが含まれます。

• • 「セキュリティ識別子 (SID)」によると Microsoft、SID はトラスティを識別するために使用される一意の値です。 これは、Windows マシン上のユーザーを識別するために使用されます。
  • アカウント名: SID は解決され、新しいプロセスの作成を開始したアカウントの名前が表示されます。
  • アカウント ドメイン: コンピュータが属するドメイン。
  • ログオン ID: ユーザーのログオン セッションを識別するために使用される一意の XNUMX 進値。 これを使用して、同じイベント ID を含むイベントを関連付けることができます。

• ターゲット サブジェクト: このフィールドには、プロセスが実行されているユーザー アカウントに関する情報が表示されます。 状況によっては、プロセス作成イベントで言及される主題は、プロセス終了イベントで言及される主題とは異なる場合があります。 したがって、作成者とターゲットが同じログオンを持っていない場合は、両方が同じプロセス ID を参照しているとしても、ターゲットのサブジェクトを含めることが重要です。 サブフィールドは、上記の作成者サブフィールドと同じです。
• プロセス情報: このフィールドには、作成されたプロセスに関する詳細情報が表示されます。 これには、次のようないくつかのサブフィールドが含まれます。

• • 新しいプロセス ID (PID): 新しいプロセスに割り当てられる一意の XNUMX 進値。 Windows オペレーティング システムは、アクティブなプロセスを追跡するためにこれを使用します。
  • 新しいプロセス名: 新しいプロセスを作成するために起動された実行可能ファイルの完全なパスと名前。
  • トークン評価の種類: トークン評価は、ユーザー アカウントに特定のアクションの実行が許可されているかどうかを判断するために Windows で採用されているセキュリティ メカニズムです。 プロセスが昇格された特権を要求するために使用するトークンのタイプは、「トークン評価タイプ」と呼ばれます。 このフィールドには 1 つの値が可能です。 タイプ 1936 (%%2) は、プロセスがデフォルトのユーザー トークンを使用しており、特別なアクセス許可を要求していないことを示します。 このフィールドでは、これが最も一般的な値です。 タイプ 1937 (%%3) は、プロセスが実行するための完全な管理者特権を要求し、それらの取得に成功したことを示します。 ユーザーが管理者としてアプリケーションまたはプロセスを実行すると、それが有効になります。 タイプ 1938 (%%XNUMX) は、プロセスが昇格された特権を要求したにもかかわらず、要求されたアクションの実行に必要な権限しか受け取らなかったことを示します。

• • 必須ラベル: プロセスに割り当てられた整合性ラベル。 
  • Creator Process ID: 新しいプロセスを開始したプロセスに割り当てられた一意の XNUMX 進値。 
  • Creator Process Name: 新しいプロセスを作成したプロセスのフルパスと名前。
  • プロセス コマンド ライン: 新しいプロセスを開始するためにコマンドに渡される引数に関する詳細を提供します。 これには、現在のディレクトリやハッシュなどのいくつかのサブフィールドが含まれます。

Ubuntu 18.04 の GoPhish フィッシング プラットフォームを AWS にデプロイする

まとめ

 

プロセスを分析するときは、それが正当なものか悪意のあるものかを判断することが重要です。 正当なプロセスは、作成者のサブジェクトとプロセス情報フィールドを調べることで簡単に特定できます。 プロセス ID は、異常な親プロセスから生成された新しいプロセスなどの異常を識別するために使用できます。 コマンド ラインは、プロセスの正当性を検証するために使用することもできます。 たとえば、機密データへのファイル パスを含む引数を持つプロセスは、悪意のある意図を示している可能性があります。 [Creator Subject] フィールドを使用すると、ユーザー アカウントが不審なアクティビティに関連付けられているか、または昇格された権限を持っているかどうかを判断できます。 

さらに、イベント ID 4688 をシステム内の他の関連イベントと関連付けて、新しく作成されたプロセスに関するコンテキストを取得することが重要です。 イベント ID 4688 を 5156 と関連付けることで、新しいプロセスがネットワーク接続に関連付けられているかどうかを判断できます。 新しいプロセスが新しくインストールされたサービスに関連付けられている場合、イベント 4697 (サービスのインストール) を 4688 と関連付けて、追加情報を提供できます。 イベント ID 5140 (ファイル作成) は、新しいプロセスによって作成された新しいファイルを識別するために使用することもできます。

結論として、システムのコンテキストを理解することは、潜在的な可能性を判断することです。 影響 プロセスの。 重要なサーバーで開始されたプロセスは、スタンドアロン マシンで開始されたプロセスよりも大きな影響を与える可能性があります。 コンテキストは、調査の指示、対応の優先順位付け、リソースの管理に役立ちます。 イベント ログのさまざまなフィールドを分析し、他のイベントとの相関関係を実行することにより、異常なプロセスをその起源まで追跡し、原因を特定することができます。