セキュリティイベントログ監査の必要性
SOX、PCI-DSS、GDPRなどのセキュリティコンプライアンスを遵守する必要があるため、管理者は認証されていないアクセスの試みや成功から保護するための安全なプロセスを実装する必要があります。分類されたネットワーク情報を常に監査することは、いくつかの基準を遵守する必要がある場合としない場合のすべてのビジネスにとって重要です。
イベントログの中でもセキュリティログを監視することにより、ログイン試行を追跡することが可能です。ツールを使わずにすべてのWindowsデバイスを手動で確認するのにはとても工数が掛かります。
セキュリティイベントログをリアルタイムで監査
ADAudit Plusは、Windows環境における管理者が、Windowsのセキュリティイベントログの徹底的な監査レポートおよびリアルタイムのアラートを表示などを行なうことが出来るアクティブディクトリーの管理ツールです。セキュリティログには、システムの監査ポリシーで指定されたセキュリティ関連イベントの記録が含まれます。セキュリティイベントの例には、認証イベント、監査イベント、不正イベントなどがあり、これらのイベントはオペレーティングシステムのセキュリティログに格納されます。
ADAudit Plusでは200を超える定義済みレポートやリアルタイムのアラート機能により、ADオブジェクト(ユーザー、グループ、GPO、コンピューター、OU、DNS、ADスキーマ)の変更を自動的に監査します。
以下、監査対象となるイベントログを一部抜粋したものとなります。
監査を必要とする重要なWindowsセキュリティイベントログ | |
---|---|
4768 / 4771 | アカウントログオンの成功/失敗 |
4624 / 4625 | ローカルログオンの成功/失敗 |
4647 | ユーザーが開始したログオフ |
4778 / 4779 | ターミナルサービスセッションの再接続/切断 |
5136 / 5137 | ADオブジェクトの変更/作成/移動 |
5139 / 5141 | 移動/削除されたADオブジェクト |
4670 | 古い属性と新しい属性の許可変更 |
4663 / 4659, 4660 | ファイル アクセス / 削除 |
以下、AD Audit Plusで監査可能なWindowsサーバーのセキュリティログイベントのカテゴリとなります。
以下に、さまざまな詳細監査ポリシーのカテゴリを示します | |
アカウントログオン | ドメインコントローラーまたはローカルのセキュリティアカウントマネージャ(SAM)におけるアカウントデータの認証の試みを文書記録します。 |
アカウント管理 | ユーザーとコンピューターのアカウントとグループの変更を監査します。 |
詳細追跡 | そのコンピューター上の個々のアプリケーションとユーザーの活動を監査します。 |
ディレクトリサービスへのアクセス | Active Directoryドメインサービス(AD DS)のオブジェクトへのアクセスや変更などの試行に関する詳細な監査証跡を表示します。 |
ログオン / ログオフ | インタラクティブまたはネットワーク経由でコンピューターへのログオン試行を追跡します。これらのイベントは、ユーザーの活動を追跡し、ネットワークリソースに対する潜在的な攻撃を特定するのに特に役立ちます。 |
オブジェクトアクセス | ネットワークまたはコンピューター上の特定のオブジェクトまたはオブジェクトの種類へのアクセス試行を追跡します。 |
ポリシーの変更 | ローカルシステムまたはネットワーク上の重要なセキュリティポリシーの変更および変更の施行を追跡します. |
特権の使用 | ユーザーまたはコンピューターが定義されたタスクを完了するために、ネットワーク上で許可されたアクセス許可を追跡します。 |
システム | 他のカテゴリには含まれていない、潜在的にセキュリティの影響があるコンピューターに対するシステムレベルの変更を監査します。 |
グローバルオブジェクトアクセス監査 | 管理者は、ファイルシステムまたはレジストリのオブジェクトの種類ごとにコンピューターシステムアクセス制御リスト(SACL)を定義できます。 |