Windowsイベントログレポートの設定

EventLog Analyzerには、1,000以上の定義済みレポートが搭載されており、統合されたセキュリティイベントの表示、セキュリティ監査の実施、各種コンプライアンス要件への対応に役立ちます。これらのレポートは、ネットワーク上のセキュリティイベントを可視化し、様々なセキュリティおよびコンプライアンスの要件を満たすのに役立ちます。

定義済みレポートを生成するためには、Windowsデバイスで以下の設定を行います。

Windowsレポート生成の設定

EventLog Analyzerでは、監視対象のデバイスが追加され、イベントソースが設定されると、ほとんどのWindowsレポートが自動的に生成されます。デバイスを追加する方法は、こちらのページを参照してください。イベントソースの設定方法は、こちらのページを参照してください。

以下の表に記載されている特定のレポートでは、Windowsレジストリにキーを手動で作成する必要があります。これらのレポートを作成するためには、以下の手順を実施してください。

  1. イベントビューアで、イベントソースを右クリック → プロパティ → ログを有効にするにチェックを入れ、イベントログが有効になっていることを確認します。
  2. レジストリエディターを開き、HKEY_LOCAL_MACHINE → SYSTEM → CurrentControlSet → Services → EventLogに移動します。Eventlog配下に、以下の表のキー列に記載されているキーを作成します。
  3. ローカルグループポリシーエディターを開き、コンピューターの構成 → Windowsの設定 → セキュリティの設定に移動します。レポートの生成を有効にするための手順は、以下の表の監査ポリシー列に記載されています。
レポート キー 監査ポリシー その他の要件
アプリケーションのホワイトリストレポート
  • Microsoft-Windows-AppLocker/EXE and DLL
  • Microsoft-Windows-AppLocker/MSI and Script
 [アプリケーション制御ポリシー] → [AppLocker]を有効化
  • サービス「Application Identity」を開始します。
  • 2つの新しいキーを作成すると、イベントビューアにイベントソース「Microsoft-Windows-AppLocker/EXE and DLL」が作成されます。イベントソースを右クリックし、[プロパティ]をクリックして、[ログのパス]の値をコピーします。
  • レジストリエディターにて、「コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/EXE and DLL」に移動後、右クリック → [新規] → [展開可能な文字列値]をクリックします。[値の名前]として「File」を入力します。[値のデータ]に、前の手順でコピーしたログのパスをペーストします。
  • ローカルグループポリシーエディターにて、[アプリケーション制御ポリシー] → [AppLocker]配下にある「実行可能ファイルの規則」、「Windowsインストーラーの規則」、「スクリプトの規則」を設定します。
  • マシンを再起動します。
Windowsファイアウォールの監査レポート
  • Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
 [監査ポリシーの詳細な構成] → [システム監査ポリシー] → [ポリシーの変更] → [MPSSVC ルールレベル ポリシーの変更の監査]を有効化

Windowsファイアウォールのログを有効にするには、監視対象デバイス上で以下のコマンドを実行します。

auditpol.exe /set /subcategory:"MPSSVC rule-level policy change,Filtering Platform policy change" /success:enable /failure:enable auditpol.exe /set /subcategory:"IPsec Main Mode,IPsec Quick Mode,IPsec Extended Mode" /success:enable /failure:enable auditpol.exe /set /subcategory:"IPsec Driver,Other system events" /success:enable /failure:enable auditpol.exe /set /subcategory:"Filtering Platform packet drop,Filtering Platform packet drop" /success:enable /failure:enable
取り外し可能(リムーバブル)ディスク監査
  • Microsoft-Windows-DriverFrameworks-UserMode/Operational
 [監査ポリシーの詳細な構成] → [システム監査ポリシー] → [オブジェクト アクセス] → [ハンドル操作の監査]、[リムーバブル記憶域の監査]、[ファイル システムの監査](NTバージョン6.2での削除操作の監査に必要)を有効化 レジストリエディターにて、「コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Storage」に移動後、右クリック → [新規] → [DWORD]をクリックします。[値の名前]として「HotPlugSecureOpen」を入力します。[値のデータ]を「1」に設定します。
レジストリの変更   [監査ポリシーの詳細な構成] → [システム監査ポリシー] → [オブジェクト アクセス] → [レジストリの監査]を有効化 監査対象のレジストリキーにSACLを設定します。対象レジストリキーを右クリック → [アクセス許可] → [詳細設定] → [監査]タブに移動して設定します。
Windowsバックアップおよび復元
  • Microsoft-Windows-Backup
 変更不要  
Windowsのシステムイベント
  • Microsoft-Windows-GroupPolicy/Operational
  • Microsoft-Windows-NetworkProfile/Operational
  • Microsoft-Windows-WindowsUpdateClient/Operational
  • Microsoft-Windows-Winlogon/Operational
  • Microsoft-Windows-WLAN-AutoConfig/Operational
  • Microsoft-Windows-TerminalServices-Gateway/Operational
  • Microsoft-Windows-TerminalServices-RDPClient/Operational
  • Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
  • Microsoft-Windows-Wired-AutoConfig/Operational
 変更不要  
  • Hyper-V サーバーイベント
  • Hyper-V VM管理レポート
  • Microsoft-Windows-Hyper-V-Worker-Admin
  • Microsoft-Windows-Hyper-V-VMMS-Storage
  • Microsoft-Windows-Hyper-V-VMMS-Networking
  • Microsoft-Windows-Hyper-V-VMMS-Admin
  • Microsoft-Windows-Hyper-V-Hypervisor-Operational
  • Microsoft-Windows- Hyper-V-Config
  • Microsoft-Windows-Hyper-V-High-Availability
  • Microsoft-Windows-Hyper-V-Hypervisor
  • Microsoft-Windows-Hyper-V-Integration
  • Microsoft-Windows- Hyper-V-SynthFC
  • Microsoft-Windows-Hyper-V-SynthNic
  • Microsoft-Windows- Hyper-V-SynthStor
  • Microsoft-Windows- Hyper-V-VID
  • Microsoft-Windows- Hyper-V-VMMS
 変更不要  
プログラムインベントリレポート
  • Microsoft-Windows-Application-Experience/Program-Inventory
 変更不要  
IISレポート
  • Microsoft-IIS-Configuration/Operational
 変更不要 本設定によって生成されるIISレポートは、[レポート]タブ → [アプリケーション] → [IIS W3C ウェブサーバー] → [IIS管理構成レポート]にて確認できます。
プリンター
  • Microsoft-Windows-PrintService/Operational
  • Microsoft-Windows-PrintService/Admin
 変更不要  
ターミナルサーバー
  • Microsoft-Windows-TerminalServices-Gateway/Operational
 変更不要  

上記設定を行うことで、EventLog Analyzerは表に記載されているレポートの生成を開始します。