EventLog Analyzer ナレッジベース

Windowsに対するファイル監視(FIM)の設定方法


本ナレッジでは、Windowsファイル監視機能について説明します。

本ナレッジは、ビルド12241を基に作成しています。

 

概要

EventLog Analyzerのファイル監視(FIM)機能を使用することで、管理対象デバイス上のファイル/フォルダーの作成・修正・削除などの変更が監査可能となります。

レポート例

ファイル監査レポートは、[レポート]タブ → [ファイル監視] → [Windowsファイル監視]をクリックすることで閲覧できます。

Linuxに対するファイル監視の設定方法は、こちらのナレッジをご参照ください。

必要条件

Windowsファイル監視機能を使用するための必要条件は、以下のとおりです。

  • 監視対象ファイル/フォルダーが存在するWindowsデバイスが、あらかじめ監視対象デバイスとして追加されていること
    ※Windowsデバイスの追加手順は、こちらのナレッジをご参照ください。
  • 監視対象ファイル/フォルダーが存在するWindowsデバイスにエージェントがインストールされていること
    ※エージェントのインストール手順は、こちらのナレッジをご参照ください。

    EventLog Analyzerサーバー自身にエージェントをインストールする(ファイル監視を行う)ことはできません。
  • ファイル監視に必要なSACL/監査ポリシーが設定されていること
    ※必要なSACL/監査ポリシーの詳細は、ファイル監視に必要なSACL/監査ポリシーの設定をご参照ください。
  • ファイル監視(FIM)機能を使用するために必要なライセンスを有すること
    ※必要なライセンスの詳細は、こちらのナレッジ内の「必要なライセンス」をご参照ください。

設定手順

  1. [設定]タブ → [ログソースの構成] → [ファイル監視]へ移動します。
  2. [Windows]タブへ移動し、[+FIMを追加]をクリックします。
  3. [デバイスを選択してください]の右端の[+]アイコンをクリックし、対象のWindowsデバイスを選択します。
  4. 対象のWindowsデバイスに対して管理者権限を有するアカウントの資格情報を入力します。
  5. [場所を参照]をクリックし、監視対象のファイル/フォルダーを指定します。
    [フィルターを除外] のオプションでは、以下の項目を指定できます。

    • ファイルの種類
    • 特定のサブフォルダー
    • 全てのサブフォルダー
  6. 任意で[ユーザー名を監査]のチェックボックスにチェックを入れます。
  7. 設定画面にて指定したファイル/フォルダーの一覧を確認後、[設定する]をクリックします。
    ※[設定する]をクリック後、対象WindowsデバイスへのELAエージェントのインストールが開始します。
  8. 以下の画面のステータスが[ログを取得中]に設定されていることをご確認ください。

ファイル監視に必要なSACL/監査ポリシーの設定

SACLの設定

ファイル監視を設定すると、監視対象ファイル/フォルダーに対して以下のSACLが自動で有効化されます。

プリンシパル:Everyone
適用先:このフォルダーのみ
アクセス許可

  • フォルダーのスキャン/ファイルの実行
  • ファイルの作成/データの書き込み
  • フォルダーの作成/データの追加
  • 属性の書き込み
  • 拡張属性の書き込み
  • サブフォルダーとファイルの削除
  • 削除
  • アクセス許可の読み取り
  • アクセス許可の変更
  • 所有権の取得

 

プリンシパル:Everyone
適用先:サブフォルダーとファイルのみ
アクセス許可

  • フォルダーのスキャン/ファイルの実行
  • ファイルの作成/データの書き込み
  • フォルダーの作成/データの追加
  • 属性の書き込み
  • 拡張属性の書き込み
  • サブフォルダーとファイルの削除
  • 削除
  • アクセス許可の変更
  • 所有権の取得
自動でSACLが設定されない場合、以下の画像を参照して設定してください。
遷移手順は、対象ファイル/フォルダーを右クリック → [プロパティ] → [セキュリティ]タブ → [詳細設定] → [監査]タブ → [追加]をクリックです。
監査ポリシーの設定

ファイル監視を設定すると、対象のWindowsデバイスに対して監査に必要な監査ポリシーが自動的に設定されます。
必要な監査ポリシーが設定されているかを確認するためには、以下の手順を実施してください。

  1. 対象のWindowsデバイスにログインします。
  2. 管理者権限でコマンドプロンプトを起動します。
  3. 以下のコマンドを実行します。
    ※実行環境の言語設定によって、いずれかのコマンドは実行失敗します。

    auditpol /get /category:"オブジェクト アクセス"

    auditpol /get /category:"Object Access"

  4. 実行結果の以下項目を確認し、「成功および失敗」が設定されているかご確認ください。
    • ファイルシステム
    • ハンドル操作
    • ファイルの共有
    • その他のオブジェクト アクセス イベント
    • 詳細なファイル共有

    または

    • File System
    • Handle Manipulation
    • File Share
    • Other Object Access Events
    • Detailed File Share
    監査ポリシーが設定されていない場合は、必要な監査ポリシーを有効化してください。

以上です。