Sysmon監査の概要
作成日:2022年11月8日 | 更新日:2023年11月10日
本ナレッジでは、Sysmonが生成するイベントログを用いた監査の概要を説明します。
Sysmonの概要
Sysmon(System Monitor)はMicrosoftが無償で提供するシステム監視ツールです。Sysmonは、Windowsデバイスのシステム状況(ネットワーク接続、レジストリ変更、DNSクエリなど)を監査し、監査状況をイベントログとして記録します(Sysmonの概要およびインストール方法はMicrosoftのページを参照)。
ADAudit Plusは、Sysmonが生成するイベントログを使用することで、Sysmon監査状況に関するレポートの生成およびアラートの通知ができます。
前提
- ADAudit Plusが監査にするために必要なイベントログをSysmonが生成していること(Sysmonのイベントログ設定方法はMicrosoftのページを参照)。
- ADAudit Plusに追加したドメインコントローラー上でSysmonが起動していること。
現状、Sysmon監査のサポート対象はドメインコントローラーのみです。メンバーサーバー、ファイルサーバー、ワークステーション上で起動するSysmonを監査したい場合は、当社製品EventLog Analyzerをご利用いただけます。
ADAudit Plusを用いた監査方法
以下、レポートおよびアラートでSysmon監査を実施する方法を紹介します。
レポート
「レポート」→「Sysmon監査」をクリック
アラート
1. 「アラート」→「新規アラートプロファイル」をクリック
2. 「名前」「説明」「基準」を入力
3. 「カテゴリ」にて、+アイコンをクリック
4. 「ドメイン」にて、監査対象ドメインコントローラーが属するドメインを選択
5. 「カテゴリ」にて、「Sysmon監査」を選択
6. 「Sysmon監査」をクリック
7. 任意で「高度な設定」を設定
8. 「アラートアクション」を任意で設定
9. 「保存」をクリック
※その他アラート設定手順の詳細はこちらのナレッジをご参照ください。
以上です。