4688 (S) 新しいプロセスが作成されました。

Event 4688 illustration

サブカテゴリ: 監査プロセスの作成

イベントの説明:

このイベントは、新しいプロセスが開始されるたびに生成されます。

[注] 推奨事項については、このイベントの「セキュリティ監視の推奨事項」を参照してください。


イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4688</EventID> 
 <Version>2</Version> 
 <Level>0</Level> 
 <Task>13312</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-11-12T02:24:52.377352500Z" /> 
 <EventRecordID>2814</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="4" ThreadID="400" /> 
 <Channel>Security</Channel> 
 <Computer>WIN-GG82ULGC9GO.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">WIN-GG82ULGC9GO$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 <Data Name="NewProcessId">0x2bc</Data> 
 <Data Name="NewProcessName">C:\\Windows\\System32\\rundll32.exe</Data> 
 <Data Name="TokenElevationType">%%1938</Data> 
 <Data Name="ProcessId">0xe74</Data> 
 <Data Name="CommandLine" /> 
 <Data Name="TargetUserSid">S-1-5-21-1377283216-344919071-3415362939-1104</Data> 
 <Data Name="TargetUserName">dadmin</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetLogonId">0x4a5af0</Data> 
 <Data Name="ParentProcessName">C:\\Windows\\explorer.exe</Data> 
 <Data Name="MandatoryLabel">S-1-16-8192</Data> 
 </EventData>
</Event>

必須サーバーロール: ありません。

最小 OS バージョン: Windows Server 2008、Windows Vista。

イベント バージョン:

  • 0 - Windows Server 2008、Windows Vista。

  • 1 - Windows Server 2012 R2、Windows 8.1。

    • ”プロセス コマンド ライン” フィールドが追加されました。
  • 2 - Windows 10。

    • サブジェクトから作成者のサブジェクトに名前が変更されました。

    • "対象サブジェクト" セクションが追加されました。

    • 必須ラベル” フィールドが追加されました。

    • 作成者のプロセス名” フィールドが追加されました。

フィールドの説明:

作成者のサブジェクト [バージョン 0 と 1 の値 – サブジェクト]:

  • セキュリティ ID [Type = SID]: “プロセスの作成" 操作を要求したアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

[注] セキュリティ識別子 (SID) は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長で固有の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「セキュリティ識別子」を参照してください。

  • アカウント名 [Type = UnicodeString]: "プロセスの作成" 操作を要求したアカウント名。

  • アカウント ドメイン [Type = UnicodeString]: サブジェクトのドメインまたはコンピューター名。 形式はさまざまで、次のようなものがあります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON などのよく知られたセキュリティプリンシパルの場合、このフィールドの値は "NT AUTHORITY" です。

    • ローカルユーザーアカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が含まれます(例: "Win81")。

  • ログオン ID [Type = HexInt64]: "4624: アカウントが正常にログオンされました" など、このイベントと同じログオン ID を含む可能性のある最近のイベントを関連付けるのに役立つ 16 進数値。

対象サブジェクト [バージョン 2]:

[注] このイベントにはプロセス作成者のプリンシパルが含まれていますが、対象コンテキストが作成者コンテキストと異なる場合は、必ずしも十分ではありません。 このような場合、プロセス終了イベントで指定されたサブジェクトは、両方のイベントが同じプロセス ID を参照している場合でも、プロセス作成イベントで指定されたサブジェクトと一致しません。 したがって、プロセスの作成者に加えて、作成者とターゲットが同じログオンを共有していない場合は、ターゲット プリンシパルも含まれます。

  • セキュリティ ID [Type = SID] [バージョン 2]: 対象アカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

[注] セキュリティ識別子 (SID) は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長で固有の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「セキュリティ識別子」を参照してください。

  • アカウント名 [Type = UnicodeString] [バージョン 2]: 対象アカウント名。

  • アカウント ドメイン [Type = UnicodeString] [バージョン 2]: 対象アカウントのドメインまたはコンピューター名。 形式はさまざまで、次のようなものがあります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON などのよく知られたセキュリティプリンシパルの場合、このフィールドの値は "NT AUTHORITY" です。

    • ローカルユーザーアカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が含まれます(例: "Win81")。

  • ログオン ID [Type = HexInt64] [Version 2]: "4624: アカウントが正常にログオンされました" など、このイベントと同じログオン ID を含む可能性のある最近のイベントを関連付けるのに役立つ 16 進数値。

プロセス情報:

  • 新しいプロセス ID [Type = Pointer]: 新しいプロセスの 16 進数で示されるプロセス ID。 プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティング システムで使用される番号です。 特定のプロセスの PID を表示するには、たとえば、次のようにタスク マネージャー ([詳細] タブの PID 列) を使用します。

    Task manager illustration

16 進数の値を 10 進数に変換することで、タスク マネージャーの値と比較することができます。

  • 新しいプロセス名 [Type = UnicodeString]: 新しいプロセス用の完全なパスと実行可能な名前。

  • トークンの昇格の種類 [Type = UnicodeString]:

    • %%1936: タイプ 1 は、特権が削除されている、またはグループが無効にされているフル トークンです。 フル トークンは、ユーザー アカウント制御が無効にされている場合、またはユーザーが組み込みの管理者アカウント (既定で UAC が無効にされている場合)、サービス アカウント、またはローカル システム アカウントの場合にのみ使用されます。

    • %%1937: タイプ 2 は、特権が削除されている、またはグループが無効にされている昇格されたトークンです。 昇格されたトークンは、ユーザー アカウント制御が有効な場合、および [管理者として実行] を使用してプログラムを起動することをユーザーが選択した場合に使用されます。 昇格されたトークンは、アプリケーションが常に管理特権を必要とするよう設定されている場合、または常に最大限の特権が要求され、ユーザーが管理者グループのメンバーである場合にも使用されます。

    • %%1938: タイプ 3 は、管理者特権が削除されており、管理グループが無効にされている、制限されたトークンです。 限定トークンは、ユーザー アカウント制御が有効な場合、アプリケーションに管理者特権を必要としない場合、および [管理者として実行] を使用してプログラムを起動することをユーザーが選択した場合に使用されます。

  • 必須ラベル [バージョン 2] [Type = SID]: 新しいプロセスに割り当てられている整合性ラベルの SID。 次のいずれかの値を指定できます。

SID RID RID ラベル 意味
S-1-16-0 0x00000000 SECURITY_MANDATORY_UNTRUSTED_RID 信頼されていない。
S-1-16-4096 0x00001000 SECURITY_MANDATORY_LOW_RID 低い整合性。
S-1-16-8192 0x00002000 SECURITY_MANDATORY_MEDIUM_RID 中度の整合性。
S-1-16-8448 0x00002100 SECURITY_MANDATORY_MEDIUM_PLUS_RID 中高度の整合性。
S-1-16-12288 0X00003000 SECURITY_MANDATORY_HIGH_RID 高い整合性。
S-1-16-16384 0x00004000 SECURITY_MANDATORY_SYSTEM_RID システムの整合性。
S-1-16-20480 0x00005000 SECURITY_MANDATORY_PROTECTED_PROCESS_RID 保護されたプロセス。
  • 作成者プロセス ID [Type = Pointer]: 新しいプロセスを実行するプロセスの 16 進数で示されるプロセス ID。 16 進数の値を 10 進数に変換することで、タスク マネージャーの値と比較することができます。

このプロセス ID を、"4688: 新しいプロセスが作成されました" などの他のイベントのプロセス ID と関連付けることもできます。プロセス情報\新しいプロセス ID

  • 作成者プロセス名 [バージョン 2] [Type = UnicodeString]: プロセス用の完全なパスと実行可能な名前。

  • プロセス コマンド ライン [バージョン 1, 2] [Type = UnicodeString]: 実行可能なファイル名と渡された引数が含まれます。 プロセス作成イベントにコマンド ラインを含めるには、"管理用テンプレート\システム\監査プロセスの作成\プロセス作成イベントにコマンドラインを含める" というグループ ポリシーを有効にする必要があります。

    Group policy illustration

    既定ではプロセス コマンド ラインフィールドは空です。

セキュリティ監視の推奨事項

4688 (S) の場合: 新しいプロセスが作成されました。

必要な監視の種類 推奨
高い価値を持つアカウント: 高い価値を持つドメインまたはローカル アカウントを使用している場合、各アクションを監視する必要があります。
高い価値を持つアカウントには、データベース管理者、組み込みのローカル管理者アカウント、ドメイン管理者、サービス アカウント、ドメイン コントローラー アカウントなどがあります。
高い価値を持つアカウントに対応する “作成者サブジェクト\セキュリティ ID” または “対象サブジェクト\セキュリティ ID” ですべてのイベントを監視します。
異常または悪意のあるアクション: 異常を検出したり、悪意のある可能性を持つアクションを監視したりするための特定の要件を持つ場合があります。 たとえば、勤務時間外のアカウント使用に監視が必要になる場合があります。 異常や悪意のあるアクションを監視する場合は、“作成者サブジェクト\セキュリティ ID” または “対象サブジェクト\セキュリティ ID” (およびその他の情報) を使用して、特定のアカウントがどのように、またはいつ使用されているのかを監視します。
非アクティブなアカウント: アクティブでないアカウント、無効なアカウント、ゲスト アカウント、または絶対に使用してはいけないアカウントを持つ場合があります。 絶対に使用してはいけないアカウントに対応する "Creator\Subject ID" または "Target Subject\Security ID" を持つすべてのイベントを監視します。
アカウント許可一覧: 特定のイベントに対応するアクションの実行が許可されているアカウントの特定の許可リストがある場合があります。 このイベントが "リストのみ許可" アクションに対応する場合は、許可リストの外部にあるアカウントの "Creator Subject\Security ID""Target Subject\Security ID" を確認します。
異なる種類のアカウント: 特定のアクションが特定のアカウントの種類 (ローカルまたはドメインのアカウント、コンピューターまたはユーザー アカウント、仕入先や従業員のアカウントなど) にのみ実行されていることを確認することができます。 このイベントが特定のアカウントの種類を監視するアクションに対応している場合は、“作成者サブジェクト\セキュリティ ID” または “対象サブジェクト\セキュリティ ID” を見て、アカウントの種類が予想どおりか確認してください。
外部アカウント: 別のドメインのアカウント、または特定のアクション (ある特定のイベントによって表される) の実行を許可されていない “外部” アカウントを監視している可能性があります。 別のドメインからの、または “外部” アカウントに対応する “作成者サブジェクト\セキュリティ ID” または “対象サブジェクト\セキュリティ ID” の特定のイベントを監視します。
制限されたコンピューターまたはデバイス: 特定のユーザー (アカウント) が通常のアクションを実行してはいけない特定のコンピューター、機器、またはデバイスを所有している場合があります。 対象の コンピューター (または他の対象デバイス) を監視して、 懸念される “作成者サブジェクト\セキュリティ ID” または “対象サブジェクト\セキュリティ ID” が実行するアクションを確認します。
アカウントの命名規則: 組織によっては、アカウント名に固有の命名規則がある場合があります。 命名規則に準拠していない名前がないか “作成者サブジェクト\セキュリティ ID” または “対象サブジェクト\セキュリティ ID” を監視します。
  • このイベントで報告されたプロセスに事前に定義された “新しい プロセス名” または “作成者プロセス名” がある場合、“新しい プロセス名” または “作成者プロセス名” が定義した値と等しくないすべてのイベントを監視します。

  • 新しい プロセス名” または “作成者プロセス名” が標準フォルダー ( System32Program Filesなど) 内にないか、制限されたフォルダ (インターネット一時ファイルなど) にないかを監視できます。

  • プロセス名に制限されたサブ文字列または単語の定義済みリスト (“mimikatz” や “cain.exe” など) がある場合、“新しい プロセス名” または “作成者プロセス名” 内にあるこれらの部分文字列を確認します。

  • 作成者サブジェクト\セキュリティ ID または対象 サブジェクト\セキュリティ ID のどちらかにあるローカル アカウントを使用して実行するプロセスには例外となる場合があります。

  • サブジェクト\セキュリティ ID に実際のユーザーアカウントがリストされている場合(たとえば、アカウント名 に$記号が含まれていない場合)に、%%1936の値を持つ トークン昇格タイプ を監視します。 通常は、何らかの理由で、このアカウントの UAC が無効にされていることを意味します。

  • アカウント名 が $ 記号を含まない場合など、サブジェクト\セキュリティ ID が実際のユーザー アカウントをリストしている場合は、標準ワークステーションで値 %%1937トークン昇格タイプを監視します。 これは、ユーザーが管理者特権を使用してプログラムを実行したことを意味します。

  • コンピューター オブジェクトがプロセスを実行するために使用されていても、そのコンピューターはイベントが発生するコンピューターと同じものでない場合は、標準ワークステーション上の値 %%1937 に関する トークンの昇格の種類を監視することもできます。

  • S-1-16-20480 (保護されたプロセス) など、特定の必須レベルを持つすべての新しいプロセスを監視する必要がある場合は、このイベントの “必須ラベル” を確認してください。