5140(S, F): ネットワーク共有オブジェクトにアクセスしました。

Event 5140 illustration

サブカテゴリ: ファイル共有の監査

イベントの説明:

このイベントは、ネットワーク共有オブジェクトにアクセスするたびに生成されます。

このイベントは、最初のアクセス試行が行われたときに、セッションごとに 1 回生成されます。

**注: **  推奨事項については、このイベントの「セキュリティ監視の推奨事項」を参照してください。


イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>5140</EventID> 
 <Version>1</Version> 
 <Level>0</Level> 
 <Task>12808</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-18T02:45:13.581231400Z" /> 
 <EventRecordID>268495</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="4" ThreadID="772" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x541f35</Data> 
 <Data Name="ObjectType">File</Data> 
 <Data Name="IpAddress">10.0.0.100</Data> 
 <Data Name="IpPort">49212</Data> 
 <Data Name="ShareName">\\\\\*\\Documents</Data> 
 <Data Name="ShareLocalPath">\\??\\C:\\Documents</Data> 
 <Data Name="AccessMask">0x1</Data> 
 <Data Name="AccessList">%%4416</Data> 
 </EventData>
 </Event>

必須サーバーロール: ありません。

最小 OS バージョン: Windows Server 2008、Windows Vista。

イベント バージョン:

  • 0 - Windows Server 2008、Windows Vista。

フィールドの説明:

サブジェクト:

  • セキュリティ ID [Type = SID]: ネットワーク共有オブジェクトへのアクセスを要求したアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合は、イベントにソース データが表示されます。

注:   セキュリティ識別子 (SID) は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長で固有の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「セキュリティ識別子」を参照してください。

  • アカウント名 [Type = UnicodeString]: ネットワーク共有オブジェクトへのアクセスを要求したアカウントの名前。

  • アカウント ドメイン [Type = UnicodeString]: サブジェクトのドメインまたはコンピューター名。 形式は異なり、次のものが含まれます。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON など、一部の既知のセキュリティ プリンシパルでは、このフィールドの値は"NT AUTHORITY"です。

    • ローカル ユーザー アカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が表示されます。たとえば、"Win81" などです。

  • ログオン ID [Type = HexInt64]: "4624: アカウントが正常にログオンされました" など、このイベントと同じログオン ID を含む可能性のある最近のイベントを関連付けるのに役立つ 16 進数値。

ネットワーク情報:

  • オブジェクトの種類 [Type = UnicodeString]: 操作中にアクセスされたオブジェクトの型。 このイベントの場合は常に "File" です。

    次の表に、最も一般的な オブジェクト型の一覧を示します。

Directory イベント タイマー デバイス
変異 ファイル トークン
スレッド セクション WindowStation DebugObject
FilterCommunicationPort EventPair Driver (ドライバー) IoCompletion
管理者 SymbolicLink WmiGuid プロセス
プロフィール Desktop KeyedEvent アダプター
キー WaitablePort コールバック セマフォ
ジョブ Port FilterConnectionPort ALPC ポート
  • ソース アドレス [Type = UnicodeString]: アクセスが実行されたソース IP アドレス。

    • クライアントの IPv6 アドレスまたは ::ffff:IPv4 アドレス。

    • ::1 または 127.0.0.1 は localhost を意味します。

  • ソース ポート [Type = UnicodeString]: アクセスを要求するためにリモートまたはローカル コンピューターから使用されたソース TCP または UDP ポート。

    • ローカル アクセス試行の場合は 0。

情報の共有:

  • 共有名 [Type = UnicodeString]: アクセスされたネットワーク共有の名前。 形式は \\*\\SHARE_NAMEです。

  • 共有パス [Type = UnicodeString]: アクセスされた共有の完全なシステム (NTFS) パス。 形式は \\?? です。\パス。 [共有名]: \\*\IPC$ など、空にすることができます。

アクセス要求情報:

  • アクセス マスク [Type = HexInt32]: 要求されたアクセス権の 16 進値の合計。 「表 13」を参照してください。 ファイル アクセス コード」 アクセス権の 16 進値が異なります。 このイベントには常に "0x1" 値があります。

  • Accesses [Type = UnicodeString]: Subject\Security ID によって要求されたアクセス権の一覧。 これらのアクセス権は 、オブジェクトの種類によって異なります。 このイベントの値は常に "ReadData (または ListDirectory)" です。

セキュリティ監視の推奨事項

5140(S, F): ネットワーク共有オブジェクトにアクセスしました。

大事な  このイベントについては、「 付録 A: 多くの監査イベントのセキュリティ監視に関する推奨事項」も参照してください。

  • すべての共有または特定の共有 ("共有名") へのすべてのアクセスを監視する必要がある価値の高いコンピューターがある場合は、このイベントを監視します。 たとえば、ドメイン コントローラーで 共有 C$ を 監視できます。

  • ネットワーク情報\ソース アドレスが内部 IP 範囲からでない場合は、このイベントを監視します。

  • ネットワーク情報\ソース アドレスが特定のコンピューター (Computer:) に接続できない場合は、このイベントを監視します。

  • 特定の IP アドレス ("ネットワーク情報\ソース アドレス") からローカル共有へのアクセス試行を監視する必要がある場合は、このイベントを使用します。

  • 特定のアクセスの種類 (ReadData や WriteData など) を監視する必要がある場合は、すべての共有または特定の共有 ("Share Name") について、このイベントの "アクセスの種類" を監視します。