4648(S): 明示的な資格情報を使用してログオンが試行されました。

  • [アーティクル]
Event 4648 illustration

サブカテゴリ: ログオンの監査

イベントの説明:

このイベントは、プロセスがアカウントの資格情報を明示的に指定してアカウントログオンを試みた場合に生成されます。

これは最も一般的に、スケジュールされたタスクなどのバッチ型の構成や、"RUNAS" コマンドを使用する場合に発生します。

また、通常のオペレーティング システム アクティビティ中に定期的に発生する定期的なイベントでもあります。

**注: **  推奨事項については、このイベントの「セキュリティ監視の推奨事項」を参照してください。


イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4648</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12544</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-10T02:54:50.771459000Z" /> 
 <EventRecordID>233200</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="1116" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x31844</Data> 
 <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data> 
 <Data Name="TargetUserName">ladmin</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetLogonGuid">{0887F1E4-39EA-D53C-804F-31D568A06274}</Data> 
 <Data Name="TargetServerName">localhost</Data> 
 <Data Name="TargetInfo">localhost</Data> 
 <Data Name="ProcessId">0x368</Data> 
 <Data Name="ProcessName">C:\\Windows\\System32\\svchost.exe</Data> 
 <Data Name="IpAddress">::1</Data> 
 <Data Name="IpPort">0</Data> 
 </EventData>
 </Event>

必須サーバーロール: ありません。

最小 OS バージョン: Windows Server 2008、Windows Vista。

イベント バージョン: 0。

フィールドの説明:

サブジェクト:

  • セキュリティ ID [Type = SID]: 明示的な資格情報を使用して新しいログオン セッションを要求したアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

注:   セキュリティ識別子 (SID) は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長で固有の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「セキュリティ識別子」を参照してください。

  • アカウント名 [Type = UnicodeString]: 明示的な資格情報を使用して新しいログオン セッションを要求したアカウントの名前。

  • アカウント ドメイン [Type = UnicodeString]: サブジェクトのドメインまたはコンピューター名。 形式はさまざまで、次のようなものがあります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON など、一部の既知のセキュリティ プリンシパルでは、このフィールドの値は"NT AUTHORITY"です。

    • ローカル ユーザー アカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が表示されます。たとえば、"Win81" などです。

  • ログオン ID [Type = HexInt64]: "4624: アカウントが正常にログオンされました" など、このイベントと同じログオン ID を含む可能性のある最近のイベントを関連付けるのに役立つ 16 進数値。

  • ログオン GUID [Type = GUID]: このイベントを同じ ログオン GUID を含めることができる別のイベントと関連付けるのに役立つ GUID。"4769(S, F): ドメイン コントローラーで Kerberos サービス チケットが要求されたイベント。

    また、4648 イベントと、同じログオン GUID 、"4624(S): アカウントが正常にログオンされました"、および "4964(S): 特別なグループが新しいログオンに割り当てられている" を含めることができる他のいくつかのイベント (同じコンピューター上) との間の相関関係にも使用できます。

    このパラメーターはイベントでキャプチャされない可能性があり、その場合は "{00000000-0000-0000-0000-000000000000}" と表示されます。

メモ  GUID は、"グローバル一意識別子" の頭字語です。 これは、リソース、アクティビティ、またはインスタンスを識別するために使用される 128 ビットの整数値です。

資格情報が使用されたアカウント:

  • アカウント名 [Type = UnicodeString]: 資格情報が使用されたアカウントの名前。

  • アカウント ドメイン [Type = UnicodeString]: サブジェクトのドメインまたはコンピューター名。 形式はさまざまで、次のようなものがあります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON など、一部の既知のセキュリティ プリンシパルでは、このフィールドの値は"NT AUTHORITY"です。

    • ローカル ユーザー アカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が表示されます。たとえば、"Win81" などです。

  • ログオン GUID [Type = GUID]: このイベントを同じ ログオン GUID を含めることができる別のイベントと関連付けるのに役立つ GUID。"4769(S, F): ドメイン コントローラーで Kerberos サービス チケットが要求されたイベント。

    また、4648 イベントと、同じログオン GUID 、"4624(S): アカウントが正常にログオンされました"、および "4964(S): 特別なグループが新しいログオンに割り当てられている" を含めることができる他のいくつかのイベント (同じコンピューター上) との間の相関関係にも使用できます。

    このパラメーターはイベントでキャプチャされない可能性があり、その場合は "{00000000-0000-0000-0000-000000000000}" と表示されます。

メモ  GUID は、"グローバル一意識別子" の頭字語です。 これは、リソース、アクティビティ、またはインスタンスを識別するために使用される 128 ビットの整数値です。

ターゲット サーバー:

  • ターゲット サーバー名 [Type = UnicodeString]: 新しいプロセスが実行されたサーバーの名前。 プロセスがローカルで実行された場合は、"localhost" 値を持ちます。

  • 追加情報 [Type = UnicodeString]: このドキュメントには、このフィールドに関する詳細情報はありません。

プロセス情報:

  • プロセス ID [Type = Pointer]: 明示的な資格情報を使用して実行されたプロセスの 16 進プロセス ID。 プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティング システムで使用される番号です。 特定のプロセスの PID を表示するには、たとえば、次のようにタスク マネージャー ([詳細] タブの PID 列) を使用します。

    Task manager illustration

    16 進数の値を 10 進数に変換することで、タスク マネージャーの値と比較することができます。

    このプロセス ID と他のイベントのプロセス ID を関連付けることもできます。たとえば、"4688: 新しいプロセスが作成されました" プロセス情報 \ 新しいプロセス ID

  • プロセス名 [Type = UnicodeString]: プロセス用の完全なパスと実行可能な名前。

ネットワーク情報:

  • ネットワーク アドレス [Type = UnicodeString]: ログオン試行が実行されたコンピューターの IP アドレス。

    • クライアントの IPv6 アドレスまたは ::ffff:IPv4 アドレス。

    • ::1 または 127.0.0.1 は localhost を意味します。

  • ポート [Type = UnicodeString]: リモート コンピューターからのログオン試行に使用されたソース ポート。

    • 対話型ログオンの場合は 0。

セキュリティ監視の推奨事項

4648(S): 明示的な資格情報を使用してログオンが試行されました。

次の表は 、「付録 A: 多くの監査イベントのセキュリティ監視に関する推奨事項」の表に似ていますが、"資格情報が使用されたアカウント\セキュリティ ID" を使用する監視方法についても説明します。

必要な監視の種類 推奨
価値の高いアカウント: 価値の高いドメインまたはローカル アカウントがあり、各アクションを監視する必要がある場合があります。
価値の高いアカウントの例としては、データベース管理者、組み込みのローカル管理者アカウント、ドメイン管理者、サービス アカウント、ドメイン コントローラー アカウントなどがあります。		 このイベントは、高価値のアカウントまたはアカウントに対応する "Subject\Security ID" または "資格情報が使用されたアカウント\\Security ID" で監視します。
異常または悪意のあるアクション: 異常を検出したり、悪意のある可能性を持つアクションを監視したりするための特定の要件を持つ場合があります。 たとえば、勤務時間外のアカウント使用に監視が必要になる場合があります。 異常または悪意のあるアクションを監視する場合は、 "Subject\Security ID" と "資格情報が使用されたアカウント\セキュリティ ID" (その他の情報) を使用して、特定のアカウントが使用されている方法とタイミングを監視します。
非アクティブなアカウント: アクティブでないアカウント、無効なアカウント、ゲスト アカウント、または絶対に使用してはいけないアカウントを持つ場合があります。 このイベントは、" Subject\Security ID" または "資格情報が使用されたアカウント\\セキュリティ ID" で監視します。これは、使用しないでください。
アカウント許可リスト: 特定のイベントに対応するアクションを実行できるアカウントの特定の許可リストがある場合があります。 このイベントが "許可リスト専用" アクションに対応する場合は、許可リストの外部にあるアカウントの "Subject\Security ID" と "資格情報が使用されたアカウント\\Security ID" を確認します。
外部アカウント: 別のドメインのアカウント、またはこのイベントに対応するアクションの実行が許可されていない "外部" アカウントを監視している可能性があります。 別のドメインまたは "外部" アカウントのアカウントに対応する "サブジェクト\アカウント ドメイン" または "資格情報が使用されたアカウント\セキュリティ ID" を監視します。
制限されたコンピューターまたはデバイス: 特定のユーザー (アカウント) が通常のアクションを実行してはいけない特定のコンピューター、機器、またはデバイスを所有している場合があります。 対象 のコンピューター (またはその他のターゲット デバイス) で、懸念している "サブジェクト\セキュリティ ID" または "資格情報が使用されたアカウント\\セキュリティ ID" によって実行されるアクションを監視します。
たとえば、"資格情報が使用されたアカウント\セキュリティ ID" が特定のコンピューターにログオンするために使用されていないことを監視できます。
アカウントの命名規則: 組織によっては、アカウント名に固有の命名規則がある場合があります。 名前付け規則に準拠していない名前については、"Subject\Account Name" と "資格情報が使用されたアカウント\\Security ID" を監視します。

  • このイベントで報告されたプロセスに対して定義済みの"プロセス名"がある場合は、"プロセス名" を使用してすべてのイベントを監視しますが、定義された値と等しくありません。

  • "プロセス名" が標準フォルダー (System32Program Filesではないなど) に存在しないか、制限付きフォルダー (Temporary Internet Filesなど) にあるかどうかを監視できます。

  • プロセス名に制限された部分文字列または単語 ("mimikatz" や "cain.exe" など) の定義済みの一覧がある場合、"プロセス名" でこれらの部分文字列を確認します。

  • サブジェクト\セキュリティ ID が資格情報が使用されたアカウントの資格情報を認識または使用しない場合は、このイベントを監視します。

  • 資格情報が使用されたアカウントの資格情報\アカウント名ネットワーク情報\ネットワーク アドレスから使用しない場合は、このイベントを監視します。

  • ネットワーク情報\ネットワーク アドレスが内部 IP アドレスの一覧からであることを確認します。 たとえば、特定のアカウント (サービス アカウントなど) を特定の IP アドレスからのみ使用する必要があることがわかっている場合は、 ネットワーク情報\ネットワーク アドレス が許可されている IP アドレスの 1 つではないすべてのイベントを監視できます。