Windowsイベントレポートの一覧

EventLog Analyzerは、イベントの詳細な監視と監査に役立つWindows環境のための様々なレポートを提供します。また、Windowsデバイスに共通する攻撃に関するレポートも含まれています。疑わしいイベントが検出されると、EメールまたはSMSでアラート通知が送信されます。Windowsデバイス用のレポートグループは以下の通りです。

Windowsイベントレポート

Windowsファイアウォールの脅威

Windowsファイアウォールのイベントを監視することで検知可能となる、一般的な攻撃に関するレポートを掲載します。

  • なりすまし攻撃 - 悪意ある攻撃者が正当なユーザーを装い、システムを攻撃します。
  • インターネットプロトコルハーフスキャン攻撃 - 攻撃者はACKパケットを要求することで、開いているポートをスキャンしようとします。
  • フラッド攻撃 - 攻撃者がどの接続も確定させず、複数の接続を行うDDoS攻撃です。
  • Ping of Death攻撃 - 攻撃者が非常に大きなパケットを送信することでサーバーをクラッシュさせようとするDDoS攻撃。
  • SYN攻撃 - 攻撃者は、サーバーのすべてのオープンポートを同時にフラッディングして攻撃を仕掛けます。

脅威検出

このセクションでは、脆弱性の検出、分析、およびフォレンジック調査に役立つ、Windows環境に対する一般的な脅威についてのレポートを掲載しています。このカテゴリの攻撃は、主にシステムの防御力を弱めることに焦点を当てています。これらのレポートに含まれる脅威をより深く分析することで、後の段階での攻撃を防ぐことができます。

  • 収束したDoS攻撃 - Dos攻撃が収束した可能性を確認できます。
  • 守備モードに入ったDoS攻撃 - Windows Filtering PlatformがDoS攻撃の可能性を発見し、防御モードに入ったときに生成されます。
  • DoS攻撃 - 大量の悪意のあるトラフィックによって正当なユーザーがサービスを受けることができなくなるような、システムにおけるDos攻撃に関する情報を確認できます。
  • ダウングレード攻撃 - ダウングレード攻撃の情報を確認できます。ダウングレード攻撃では、システムの高度なセキュリティ機能がダウングレードされ、古いレガシーのセキュリティ機能が採用されるため、攻撃を受けやすくなります。
  • リプレイ攻撃 - リプレイ攻撃(アタック)の情報を確認できます。リプレイ攻撃では、攻撃者が認証を回避するため、またはその他の悪意のある目的のために、攻撃者が正当なデータやリクエストを奪取して再度利用(リプレイ)します。
  • ディフェンダーのマルウェア検出 - Windows Defenderが検出したマルウェア情報が確認できます。
  • ディフェンダーのリアルタイム保護検出 - Windows Defenderからのアンチウイルス情報が確認できます。
  • ターミナルサーバーの攻撃 - ターミナルサーバー(端末)への攻撃に関する情報を確認できます。
  • ターミナルサーバーの最大値を超えたログオン試行 - ターミナルサーバー(端末)において、複数のログオン失敗した情報が確認できます。
  • IP重複 - 複数のホストに同じIPアドレスが割り当てられた場合、ホスト間の通信を阻害するIP重複が発生します。ネットワークにおけるIP重複に関する情報を確認できます。
  • ロックアウトされたユーザーアカウント - ロックアウトされたユーザーアカウントの情報が確認できます。

アプリケーションのホワイトリスト

ホワイトリストに登録された、またはブロックされたEXE、DLL、MSIファイルや自動化されたスクリプトに関するレポートを確認できます。

  • Exe/Dllファイルが実行許可されました - 組織によってブロックされた特定のアプリケーションの実行が許可されたときに生成されます。
  • Exe/Dllファイルは強制ルールがあるので実行することはできません - 強制されたルールにより特定のアプリの実行が許可されていない場合に生成されます。
  • Exe/Dllファイルの実行は許可されていません - 組織によってブロックされた特定のアプリが実行されない場合に生成されます。
  • MSI/スクリプトファイルが実行許可されました - 組織によってブロックされた特定のスクリプトまたは MSI ファイルの実行が許可された場合に生成されます。
  • 強制ルールがあるので実行できないMSI/スクリプトファイル - 強制されたルールにより特定のスクリプトまたは MSI ファイルがブロックされた場合に生成されます。
  • 実行禁止されたMSI/スクリプトファイル - 組織によってブロックされたMSIファイルや自動化されたスクリプトがシステムで実行できない場合に生成されます
  • ソフトウェアはプログラムアクセスが制限されています - システムやファイルへの変更が制限されているソフトウェアに関する情報を確認できます。

ドメインのイベント

Active Directoryの重要なイベントに関するレポートがここに掲載されます。これらの重要な変更を監視することは、Active Directoryのセキュリティ機能が損なわれたり、ダウングレードされたりしていないことを確認するために不可欠です。

  • 新規ログオンに割り当てられた特別なグループ - 管理者によって指定された特別なグループへのログオンに関する情報を確認できます。
  • アカウントに追加されたSID履歴 - ユーザーが新しいドメインに移行した場合、セキュリティ識別子の履歴が新しいドメインに追加されます。このレポートは、SID履歴がアカウントに追加されたインスタンスを記録することで、ドメイン間のユーザーを追跡するのに役立ちます。
  • アカウントに追加されたSID履歴失敗 - ユーザーアカウントへのSID履歴の追加が失敗した情報を確認できます。
  • Kerberosポリシー変更 - ネットワーク内のKerberos認証プロトコルに行われたポリシー変更の履歴を確認できます。
  • 特殊グループのログオンテーブルの変更 - 特別グループへの変更に関する情報を確認できます。

アプリケーションクラッシュ

Windowsデバイスにインストールされたアプリケーションのパフォーマンスに関する問題の監視に役立ちます。

  • アプリケーションエラー - Windows デバイスにインストールされているアプリケーションのロード中に発生したエラーの情報を確認できます。
  • ハングされたアプリケーション - Windows デバイスでアプリケーションがハングした情報を確認できます。
  • エラーレポート - Windows デバイスで頻繁に発生するエラーに関する情報を確認できます。
  • ブルースクリーンエラー(BSOD) - Windows デバイスで発生したブルースクリーンエラーの情報を確認できます。
  • システムエラー - Windowsデバイス上で発生したシステムエラー情報を確認できます。
  • EMETログ - (EMET)Microsoft Enhanced Mitigation Experience Toolkitからの情報を確認できます。
  • ファイル保護 - 重要なWindowsシステムファイルをリプレースする試行に関する情報を確認できます。

アンチウイルスからの脅威の検出

EventLog Analyzerは、Kaspersky、Sophos、McAfeeなどのウイルス対策ソリューションからログデータを収集することができます。このカテゴリのレポートは、これらのソリューションで検出されたすべての脅威の概要を示しています。

  • ESET Endpoint Antivirusによる脅威の検出
  • Kasperskyによる脅威の検出
  • Microsoft のアンチマルウェアによる脅威の検出
  • Sophos Anti-Virusによる脅威の検出
  • Norton AntiVirusによる脅威の検出
  • Symantecのエンドポイント保護によって検出された感染ファイル
  • Mcafeeによる脅威の検出
  • ディフェンダーのマルウェア検出
  • ディフェンダーのリアルタイム保護検出

レジストリの変更

このレポートグループは、Windowsレジストリの変更を監視し、変更しようとする試みを記録するのに役立ちます。

  • アクセスされたレジストリ - Windowsレジストリへのアクセス記録
  • 失敗したレジストリアクセス - Windowsレジストリへのアクセスに失敗した記録
  • 作成されたレジストリ - 新しく作成されたすべてのレジストリキーの記録
  • 失敗したレジストリ作成 - レジストリキーの作成に失敗した記録
  • 変更されたレジストリ値 - レジストリ値の変更記録
  • 失敗したレジストリ変更 - レジストリ値の変更に失敗した記録
  • 削除されたレジストリ - 削除されたレジストリキーの記録
  • 失敗したレジストリ削除 - レジストリ値の削除に失敗した記録
  • レジストリのアクセス許可の変更 - レジストリのアクセス許可の変更記録
  • レジストリの上位のユーザー - レジストリに最もアクセスしているユーザー情報

取り外し可能ディスク監査

Windowsデバイスにおけるリムーバブルディスクのアクティビティの概要を示します。また、ファイルがコピーされていなくても、USBまたはリムーバブルディスクが差し込まれたり、取り外されたりした場合のインスタンスも含まれます。

  • 接続されたUSB
  • 取り外されたUSB
  • 取り外し可能ディスク読み取り
  • 取り外し可能ディスク読み取り失敗
  • 取り外し可能ディスク作成
  • 取り外し可能ディスク作成失敗
  • 取り外し可能ディスク修正
  • 取り外し可能ディスク修正失敗
  • 取り外し可能ディスク削除
  • 取り外し可能ディスク削除失敗
  • デバイスベースのリムーバブルディスクの変更
  • リムーバブルディスク監査の上位の成功したユーザー
  • リムーバブルディスク監査の上位の失敗したユーザー
  • リムーバブルディスクの変化傾向

Windowsスタートアップイベント

Windowsの起動、シャットダウン、再起動などのWindowsシステムイベントの概要を提供します。

  • Windows のスタートアップ
  • Windows シャットダウン
  • Windows の再起動
  • 予期せぬシャットダウン
  • システムのアップタイム
  • WindowsのスタートアップとWindowsのシャットダウン

サービス監査

Windowsデバイスにインストールされているすべてのサービスを追跡するのに役立ちます。

  • 新規サービスのインストール
  • サービスの開始
  • サービスが停止されました
  • サービスに失敗しました

プログラムインベントリ

これらのレポートは、Windows環境で発生したソフトウェア、サービス、またはアップデートに関する情報を提供します。

  • インストールされたソフトウェア
  • ソフトウェアの更新
  • 失敗したソフトウェアのインストール
  • 権限の不一致によるソフトウェアのインストールの失敗
  • ソフトウェアがアンインストールされた
  • Windows アップデート - インストール済み
  • Windows の更新プロセスが失敗しました
  • ホットパッチに失敗しました
  • 更新パッケージがインストールされています
  • 有効なWindowsライセンスではありません
  • Windows ライセンスのアクティベーションに失敗しました
  • アクティベートされていないWindows製品
  • 新しいカーネルフィルタドライバがインストールされました

無線ネットワークレポート

これらのレポートは、ワイヤレスネットワークのイベントを詳細に監視するのに役立ちます。

  • ワイヤレスネットワークの認証
  • ワイヤレスネットワークの認証
  • 有線ネットワークの認証
  • 有線ネットワークの接続
  • 有線ネットワークの切断
  • 無線ネットワークの接続
  • 無線ネットワークの切断

イベントログレポート

これらのレポートは、Windowsデバイスのイベントロギングサービスのステータスを追跡するのに役立ちます。

  • ドロップされた監査イベント
  • イベントログサービスのエラー
  • イベントログ自動バックアップ
  • セキュリティログフル
  • イベントロギングサービスシャットダウン
  • セキュリティ ログのクリア
  • イベントログの消去

システムイベント

Windows インフラストラクチャにおける重要なシステムイベントを監視するのに役立ちます。

  • Windows の時間変更
  • Windows 更新プログラムのインストール
  • AD バックアップ エラー
  • GPO クエリが失敗しました
  • 無効なWindowsライセンス
  • アクティベートされていないWindowsライセンス
  • Active Directoryのデータベースが破損している
  • 不正なディスクブロック
  • カーネルドライバのロード失敗
  • コードの整合性チェック
  • 無効なイメージハッシュファイル
  • 無効なページハッシュイメージファイル
  • ハードディスクの障害
  • システムの復元

Windowsイベント

すべてのイベント、重要なイベント、およびユーザーベースのイベントに基づいて、Windowsレポートの全体的な傾向を示します。

  • すべてのイベント
  • 重要なイベント
  • ユーザーベースのアクティビティ

傾向レポート

Windows デバイスから収集したログで検出されたトレンドの概要を示します。最も多く生成されたイベントとその頻度の特定に役立ちます。

  • 毎時レポート
  • 週間レポート

デバイス重大度レポート

Windows デバイスの成功、失敗、情報、および警告イベントの概要を示します。

  • 成功イベント
  • 情報イベント
  • 失敗イベント
  • 警告イベント
  • エラーイベント

Windowsバックアップおよび復元(リストア)

Windowsデバイスのすべてのバックアップと復元のイベントの概要を示します。

  • Windowsのバックアップに失敗しました
  • Windows のバックアップに成功しました
  • Windows の復元に失敗しました
  • Windows の復元に成功しました
  • システムの復元

Windowsファイアウォールの監査

Windowsファイアウォール監査レポートグループは、ファイアウォールのルールや設定の追加、削除、変更など、Windowsファイアウォールにおける重要な変更の監査に役立ちます。

  • ルールの追加
  • ルールの追加
  • ルールの変更
  • ルールの削除
  • 設定の復元
  • 設定の変更
  • グループポリシー変更

ネットワークポリシーサーバー

Windowsデバイスにおけるネットワークポリシーサーバーの監視に役立ちます

  • ユーザーにアクセス権付与
  • ユーザーにアクセス権拒否
  • ユーザーのリクエスト拒否
  • ユーザーのアカウンティングリクエスト拒否
  • 繰り返しログオンに失敗したためにロックされたユーザー
  • NPSロック解除ユーザーアカウント

データ脅威検出

プリンタのアクティビティ、リムーバブルディスク、データベースを監視するレポートです。

  • プリンタ文書の盗難
  • リムーバブルメディアのデータ盗難
  • 共有ネットワークのデータ盗難
  • バックアップによるSQL Serverのデータ盗難
  • リードによるSQL Serverのデータ盗難
  • 読み取りによるOracleデータの盗難
  • Windows FTPデータ盗難
  • Unix FTP データ盗難