ADAudit Plus ナレッジベース

Sysmon監査の概要


本ナレッジでは、Sysmonが生成するイベントログを用いた監査の概要を説明します。

Sysmonの概要

Sysmon(System Monitor)はMicrosoftが無償で提供するシステム監視ツールです。Sysmonは、Windowsデバイスのシステム状況(ネットワーク接続、レジストリ変更、DNSクエリなど)を監査し、監査状況をイベントログとして記録します(Sysmonの概要およびインストール方法はMicrosoftのページを参照)。

ADAudit Plusは、Sysmonが生成するイベントログを使用することで、Sysmon監査状況に関するレポートの生成およびアラートの通知ができます。

 

前提

  • ADAudit Plusが監査にするために必要なイベントログをSysmonが生成していること(Sysmonのイベントログ設定方法はMicrosoftのページを参照)。
  • ADAudit Plusに追加したドメインコントローラー上でSysmonが起動していること。

現状、Sysmon監査のサポート対象はドメインコントローラーのみです。メンバーサーバー、ファイルサーバー、ワークステーション上で起動するSysmonを監査したい場合は、当社製品EventLog Analyzerをご利用いただけます。

 

ADAudit Plusを用いた監査方法

以下、レポートおよびアラートでSysmon監査を実施する方法を紹介します。

レポート

「レポート」→「Sysmon監査」をクリック

アラート

1. 「アラート」→「新規アラートプロファイル」をクリック
2. 「名前」「説明」「基準」を入力
3. 「カテゴリ」にて、+アイコンをクリック
4. 「ドメイン」にて、監査対象ドメインコントローラーが属するドメインを選択
5. 「カテゴリ」にて、「Sysmon監査」を選択
6. 「Sysmon監査」をクリック
7. 任意で「高度な設定」を設定
8. 「アラートアクション」を任意で設定
9. 「保存」をクリック

※その他アラート設定手順の詳細はこちらのナレッジをご参照ください。

 

以上です。