Регистрация Войти
Рейтинг:3
Teo B avatar Server

Журналы аудита Windows Server

флаг in
Teo B

У меня есть контроллер домена Windows Server 2012r2 и файловый сервер. Я включил аудит для определенной папки, которую хочу отслеживать. Я собираю журналы на централизованном сервере Graylog.Я правильно получаю журналы аудита, проблема в том, что я также получаю массу журналов файлов, к которым обращается битдефендер программного обеспечения av, а также программное обеспечение облачной синхронизации, которое я использую для синхронизации моих файлов в облаке. Мой сервер Graylog перегружен сообщениями, которые мне не нужны. Я могу фильтровать нужные мне сообщения в Graylog, но, как я уже сказал, я не хочу получать их в виде журналов аудита.

Есть ли способ исключить программу av и программу синхронизации из программы просмотра событий Windows?

Заранее спасибо.

146
0 + 0
Alex avatar
флаг us
Alex
Я также предлагаю перенести этот вопрос на форум по информационной безопасности (https://security.stackexchange.com/), вы можете сделать это, пометив свой вопрос для рассмотрения (https://meta.stackexchange.com/questions/184657/how). -do-i-transfer-this-quested-on-stack-overflow-to-math-stack-exchan)
0
Ответить
Рейтинг:0
Alex avatar Server
флаг us
Alex

Я никогда не слышал о такой возможности в аудите Windows, и я почти уверен, что это невозможно. Возможно, вы сможете смягчить проблему, если что-то из перечисленного ниже подойдет вам:

  1. Исключите эту папку из сканирования AV или настройте политику сканирования для этой папки, чтобы исключить файлы с низким уровнем риска (например, TXT и т. д.).
  2. Включить аудит только для критических файлов
  3. Включите аудит только для определенных операций (например, записи) — в идеале ни антивирус, ни приложение облачной синхронизации не будут редактировать ваши файлы.
  4. Сбросьте журналы аудита Windows в пользу специализированного решения для мониторинга целостности файлов (FIM) или предотвращения утечки данных (DLP), которое имеет эти возможности.

Должен сказать, что я говорю о самой опции аудита. Я не знаю конкретно, как вы собираете журналы из средства просмотра событий. Может быть, есть способ отфильтровать их, прежде чем они отправятся с компьютера Windows на сервер Graylog; возможно, есть способ заставить Graylog отправить определенный запрос с фильтрацией этих журналов. Но это больше вопрос о самом Graylog, а не о журналах безопасности Windows.

P.S. Наполовину связанный вопрос, также оставшийся без ответа: Исключение определенных типов файлов из аудита безопасности в Windows Server 2008

0 + 0
Teo B avatar
флаг in
Teo B
Спасибо, Алекс. Ответ кажется законным. Буду следить только за удалением и редактированием написанного. Завтра утром на работе попробую. Выложу результаты.
0
Ответить
Teo B avatar
флаг in
Teo B
Его рабочий аудит только для созданного редактирования, записи и удаления. MНет больше тонн записей в журнале от av и sync. Теперь я могу фильтровать и извлекать нужную информацию из серого журнала. Еще раз спасибо
0
Ответить
Alex avatar
флаг us
Alex
Рад слышать. Если это поможет, пожалуйста, отметьте это как ответ. А также попробуйте подход, предложенный Грегом во втором ответе - возможно, есть способ фильтрации на уровне ОС с использованием WEF.
0
Ответить
Рейтинг:0
avatar Server
флаг cn
Greg Askew

Невозможно точно выбрать, какие события для подкатегории будут регистрироваться. Что вы можете сделать, так это настроить переадресацию событий Windows и указать фильтр для подписки, который подавляет события, которые вам не нужны, а затем заставить этот сервер отправлять журнал в ваш SIEM.

Вы также можете просмотреть, что вы проверяете. Если требуется чтение, гибкость может отсутствовать. Если вас интересуют только модификации, вы можете исключить различные флажки аудита чтения, и это может помочь с объемом.

0 + 0
Teo B avatar
флаг in
Teo B
На данный момент пересылаю логи с nx log ce. Через секунду проверю некоторые другие инструменты. Спасибо, Грег.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.