特定ユーザー以外のログオンを検知するアラート設定例
作成日:2023年3月14日 | 更新日:2023年11月10日
確認ビルド:7102
本ナレッジでは、特定ユーザー以外のローカルログオンを検知するアラート設定例を紹介します。
アラートプロファイル作成の詳細な手順はこちらのナレッジをご参照ください。
前提
ADAudit Plusに管理対象として追加しているサーバーに対して、特定ユーザーを使用してログオンしていることを想定しています。
検知できるイベント
ADAudit Plusに管理対象として追加しているサーバーに対して、特定ユーザー以外のユーザーがログオンするイベントを検知できます。
例えば、サーバーにログオンする際はユーザー「administrator」を使用する運用である場合、ユーザー「administrator」以外のユーザーがログオンしたイベントを検知できます。
アラート設定例
1. 「アラート」タブ→画面右上の「新規アラートプロファイル」をクリック
2. 必要情報(名前、説明、基準)を入力
3. 「カテゴリ」にて「ローカルログオン成功」を選択
4. 「アラートメッセージ」を任意で編集
アラートメッセージには、「ログイン先サーバー」と「ログオンユーザー名」を、
それぞれ「%SOURCE%」と「%USERNAME%」という変数で記載できます。
アラートメッセージ例)サーバー%SOURCE%において、ユーザー%USERNAME%がログインに成功しました。
5. 「高度な設定」にて「フィルター」にチェック
6. フィルターとして以下を設定
ユーザー名 等しくない <いつもログオンに使用しているユーザー名>
例)ユーザー名 等しくない administrator
本アラート対象となるサーバーを特定したい場合、以下のフィルターを追加していただけます。
「ロケーション <任意の条件> <サーバー名>」
「ロケーション <任意の条件> <サーバー名>」
7. 「アラートアクション」を任意で設定
8. 「保存」をクリック