Windowsセキュリティログ監査の重要性
Windowsセキュリティログには、ログオン成功・失敗や、権限変更といった重要な情報が記録されています。そのため、セキュリティやコンプライアンスを確保するには、セキュリティログの監査が欠かせません。
企業においてセキュリティコンプライアンス(PCI-DSSやGDPRなどの法令・基準)を達成するには、アクセス監査や証跡管理が不可欠です。ネットワーク上の機密情報に「いつ、誰が、どの端末からアクセスしたか」を常に追跡し、記録を残す必要があります。
Windowsイベントログの中でも、セキュリティログを監査する体制が整っていないと、不正検知やトラブル対応が円滑に進みません。セキュリティログを監視することで、ログオン試行や認証失敗などのイベントを把握できます。ただし、特に管理しているWindows端末が多数ある環境では、標準ツールやコマンドのみを使い手動でセキュリティログを監査するには膨大な工数が発生してしまいます。
Windowsセキュリティログをリアルタイムで監査
ADAudit Plusは、Windows環境における管理者が、Windowsのセキュリティイベントログの徹底的な監査レポートおよびリアルタイムのアラートを表示などを行なうことが出来るアクティブディクトリーの管理ツールです。セキュリティログには、システムの監査ポリシーで指定されたセキュリティ関連イベントの記録が含まれます。セキュリティイベントの例には、認証イベント、監査イベント、不正イベントなどがあり、これらのイベントはオペレーティングシステムのセキュリティログに格納されます。
ADAudit Plusでは200を超える定義済みレポートやリアルタイムのアラート機能により、ADオブジェクト(ユーザー、グループ、GPO、コンピューター、OU、DNS、ADスキーマ)の変更を自動的に監査します。
以下、監査対象となるイベントログを一部抜粋したものとなります。
| 監査を必要とする重要なWindowsセキュリティイベントログ | |
|---|---|
| 4768 / 4771 | アカウントログオンの成功/失敗 |
| 4624 / 4625 | ローカルログオンの成功/失敗 |
| 4647 | ユーザーが開始したログオフ |
| 4778 / 4779 | ターミナルサービスセッションの再接続/切断 |
| 5136 / 5137 | ADオブジェクトの変更/作成/移動 |
| 5139 / 5141 | 移動/削除されたADオブジェクト |
| 4670 | 古い属性と新しい属性の許可変更 |
| 4663 / 4659, 4660 | ファイル アクセス / 削除 |
以下、AD Audit Plusで監査可能なWindowsサーバーのセキュリティログイベントのカテゴリとなります。
| 以下に、さまざまな詳細監査ポリシーのカテゴリを示します | |
| アカウントログオン | ドメインコントローラーまたはローカルのセキュリティアカウントマネージャ(SAM)におけるアカウントデータの認証の試みを文書記録します。 |
| アカウント管理 | ユーザーとコンピューターのアカウントとグループの変更を監査します。 |
| 詳細追跡 | そのコンピューター上の個々のアプリケーションとユーザーの活動を監査します。 |
| ディレクトリサービスへのアクセス | Active Directoryドメインサービス(AD DS)のオブジェクトへのアクセスや変更などの試行に関する詳細な監査証跡を表示します。 |
| ログオン / ログオフ | インタラクティブまたはネットワーク経由でコンピューターへのログオン試行を追跡します。これらのイベントは、ユーザーの活動を追跡し、ネットワークリソースに対する潜在的な攻撃を特定するのに特に役立ちます。 |
| オブジェクトアクセス | ネットワークまたはコンピューター上の特定のオブジェクトまたはオブジェクトの種類へのアクセス試行を追跡します。 |
| ポリシーの変更 | ローカルシステムまたはネットワーク上の重要なセキュリティポリシーの変更および変更の施行を追跡します. |
| 特権の使用 | ユーザーまたはコンピューターが定義されたタスクを完了するために、ネットワーク上で許可されたアクセス許可を追跡します。 |
| システム | 他のカテゴリには含まれていない、潜在的にセキュリティの影響があるコンピューターに対するシステムレベルの変更を監査します。 |
| グローバルオブジェクトアクセス監査 | 管理者は、ファイルシステムまたはレジストリのオブジェクトの種類ごとにコンピューターシステムアクセス制御リスト(SACL)を定義できます。 |
