ファイルアクセス追跡

      121 

  2. ご利用者様自身で print tracking を有効化する場合、以下の作業が必要です。 

All Versions of Windows 

スタート=>設定に進みます。プリンター（と FAX）アイコンをクリックまたはダブル-クリックします。 ファイ ル メニューから Server Properties を選択します。  ここで Advanced タブをクリックします。 

次に Log information spooler events の隣ボックスにチェックを入れます。 Print Spooler サービスを 再スタートして下さい。 

3.  アプリケーションイベントログ Log Size を Overwrite events as needed に設定する必要があります。

サイズは最低でも 2048kb で指定する事を推奨します。 イベントログが正確に構成されていないと、ア プリケーションイベントログへ EventSentry エージェントは起動時におけるエラーメッセージを書き込み ます。 

（Administrative Tools より） Event Viewer を開いて Log size 設定を変更できます。 

Application Log を右クリックします。メニューより Properties を選択します。次に Log Size が Overwrite events as needed へ正確に設定されているか、確認します。更に Maximum log size に十 分な量があるか、確認します。 

      122 

本機能とファイル監視機能の比較は File monitoring vs. File Access Tracking を  ご参照下さい。 

ファイルアクセス追跡の動作はイベントの傍受と正規化により行います。イベント 560（Windows2003 ま たはそれ以前で実行中のコンピュータ）またはイベント 4663（Vista またはそれ以降実行中のコンピュー タ）を正規化します。更に追加アクションの実行、目的はイベント（ソースコンピュータなど）についての 情報を拡大とファイルアクセスアクションを分類です。 

Windows2003 またはそれ以前でファイルアクセス追跡を使用 

560 セキュリティイベントには 1 つ問題があります。Windows2003、またはそれ以前で実行するこのイベ ントはファイルに変更が発生した時だけなく、ファイルに変更を要求した時にも記録（ログ）します。 

Microsoft 社は、通称 Windows2003（イベント ID567）のオペレーションイベントを発表しました。 

このイベントが試みるのは、この問題をアドレスする為、実際に変更したファイルに限りセキュリティイ ベントログへ記録します。ですが、Windows2003 で信頼できない何等かのオペレーションイベントが見 つかります。特にネットワークでシェアしたファイルを通してファイルにアクセスした時です。

NETIKUS.NET 社はこの問題について Detail in our event log blog で協議しました。例えば、

Windows2003 やそれ以前の 567 イベントでは、ファイルアクセス追跡機能は使用しません。Vista,  Windows server 2008  またはそれ以降においては使用します。 

この制限を補完する為、EventSentry は手動で特定ファイルのアクションを認証します。例えば、チェッ クサム作成のような、ファイルの追加認証を実行します。ファイルが変更された時、ファイルが確実に削 除された事を認証した時、に行います。この機能は Verify と呼びます。 Verify はオプションで、

Windows server 2003(またはそれ以前)でファイルアクセスを追跡すると活性化します。 

Windows Vista、Windows server 2008、それ以降でファイルアクセス追跡を使用 

Windows server 2008 でファイルアクセスを追跡する場合（ファイルシェアを通してリモートコンピュータ からファイルアクセスする場合も含みます）、EventSentry はオペレーションイベントの傍受と正規化を 行います。（先に説明した通り）エージェントで Verify 機能を通して追加処理を行います。 

多くの状況では不必要です。 

5.6.6.1 前提条件

ファイルアクセス追跡を使用するには、EventSentry で追跡するファイルやフォルダの構成を監査する 必要があります。加えて、オブジェクト追跡は、グループポリシーまたはローカルセキュリティポリシー、

どちらかを活性化する必要があります。 

      123  1．オブジェクト追跡の有効化 

監査カテゴリーのオブジェクト追跡を有効化する方法について、詳細は 追跡の要件 章をご参照下さ い。 

オブジェクト追跡が有効化されていないと、必要な 560 または 4663 イベントが OS で作成されません。 

たとえディレクトリで監査が有効化されていたとしてもです。 

2．ファイルとフォルダの監査設定 

一度オブジェクトアクセス追跡が有効化すると、EventSentry で追跡するディレクトリ上の監査を設定し なければなりません。監査を設定するには、Windows エクスプローラー内フォルダプロパティにアクセス します。次に上級セキュリティプロパティにアクセスします。以下のスクリーンショットをご覧下さい。 

      124 

  以下は監査を有効化する手順です： 

1.監査を有効化にしたいフォルダを右クリック。次に PROPERTIES を選択  2. Security タブをクリック 

3. Advanced ボタンを選択  4. Auditing タブを選択  5. Edit をクリック  6. Add をクリック 

7.選択ダイアログで、監査するユーザーまたはグループを指定。全員を監査する場合、 Everyone を 入力 

8. Auditing Entry ダイアログで監査するアクセスタイプを指定します。例； Create files/ write data   9.数回 OK をクリックして、選択内容を再確認します。 

監査項目は即時実行します。 

5.6.6.2 ファイルアクセス追跡の設定

単一または複数ディレクトリ上に監査が設定されると、以下どちらか選択できます。 

      125  単一または複数のディレクトリを EventSentryｄえ監視、または単純に全てのファイルアクセス追跡イベ ントを傍受して正規化します。 

イベント分析 

ファイルアクセス追跡を設定すると、イベント分析の緻密度を決める必要があります。 Normalize イベ ント 、Normalize & Verify 、 Normalize, Verify & Filter イベント から選択できます。 

Normalize Only 

最低限度のリソース集中オプションです。オブジェクト追跡イベントの傍受と正規化、EventSentry デー タベースへの書き込みです。 このオプションを設定すると、ファイルにアクセスしようとする、いかなる 追加認証も実行しません。このオプションが有効なのは、 Track all file access activity 利用時です。 

Normalize Only は、Vista またはそれ以降の OS で実行するコンピュータへの設定を推奨します。これ らのコンピュータは既にオペレーションイベントを作成しているからです。 

Normalize & Verify 

このオプションは、上記で記載した通り単純なイベントの正規化に加え、ファイルにアクセスの追加認 証を実行します。このオプションでは更にリソースを必要とします。理由は監視ディレクトリ内の各ファイ ルに対してチェックサムを作成するからです。同様にファイルにも書き込みます。 

Verify は多くのファイル変更を判定しようとします。 

ファイルへのアクセスを書き込み。ファイルの SHA チェックサムを使用して認証します。 

ファイル削除。存在しないファイルへのチェックサムで認証します。 

ファイル追加。存在するファイルへのチェックサムで認証します。 

アクションが認証されると、イベントに Verified とフラグが付きます。 

Verify オプションが有効なのは、１〜複数ディレクトリを指定した場合に限ります。理由はエージェント が全ての監視対象ディレクトリを初期化する必要とするからです。 

Normalize, verify & Filter 

この選択は Normalize & Verify 設定として識別されますが、違いは（例：チェックサムを通して）認証さ れたファイル変更に限りデータベースに記録されます。アクションが認証されない場合、イベントは廃棄 されます。 

      126  このオプションは高セキュリティ環境では推奨できません。 アクションが正確に判定されないと、重要 なイベントが廃棄されるかもしれないからです。 

追跡ディレクトリ 

全ファイルアクセスのアクティビティ、または、監視対象から特定ディレクトリを指定して追跡できます。 

Tracking all access activity 

このオプションを選択すると、全オブジェクト追跡トラックがシステム上に作成され、追跡します。 この オプションを選択すると、 Event Analysis が自動的に Normalize Only に設定されます。 

Monitoring one or more directories 

1 つ以上のディレクトリをリストに追記します。これに選択されたディレクトリからのファイルアクセスイベ ントに限り、追跡します。 Normalize イベント 、Normalize & Verify 、 Normalize, Verify & Filter イベン ト からこのオプションを選択する必要があります。 

更に、記録するアクセスマーク（例えば、Write Data、Delate のみ）を設定できます。 またファイルフィル ターを指定し、特定ファイルのみを含めるか、追跡しないファイルを除外します。 

次章 アクセスマークとフィルター をご参照下さい   

ソース IP アドレスとコンピュータ名の回復 

ログイン ID にファイルアクセス追跡イベントがあり、このイベントが先のログオンセッションにリンク（関 連）する場合、EventSentry は IP アドレスやホスト名を含めます。 この場合、ホスト名または IP アドレ スのみ有効です。DNS ルックアップは不足情報を集めて実行します。 

DNS ルックアップの性質上、この情報の取り扱いには注意してください。また 100%正確ではありませ ん。 

5.6.6.3 アクセスマークとフィルター

追跡するファイルアクセスの種類を指定できます。関連するイベントに限りデータベースに記録すること を確認します。 粗に、ファイルフィルターを設定して、パターンに一致するファイルを付加/除外できま す。