• 検索結果がありません。

追跡の要件

ドキュメント内 2 5 EventSentry (ページ 109-112)

第 5 章  EventSentry で監視

5.6  コンプライアンス追跡

5.6.2  追跡の要件

全てのコンプライアンス追跡機能の動作は、Audit Failure と Audit Success イベントの検査によるもので す。これらはセキュリティイベントからイベントです。 例えば、監視対象コンピュータのセキュリティポリ シー内部で個々の監査機能を有効化する必要があります。 

      110  例えば、特定の新しいユーザーアカウントを追跡する場合、 Account Management ポリシーを有効化 する必要があります。 

 

All tracking features: 

この機能で自動的に追跡が起動するように設定できます。たとえ有効化されていないとしてもです。 

ですが、可能であれば、グループポリシーを使用してドメインレベルにおいて買う宇佐を有効化すること を推奨します。 

下記リストをご参照下さい。個々の追跡機能に必要な監査オプション示します。 

Compliance Tracking Feature  Auditing Option  Required Auditing(NT4)  Process Tracking  Audit process tracking  Process Tracking 

Logon Tracking  Audit logon event  Logon and Logoff 

File Access Tracking  Audit object access    File and Object Access  Account Management 

Tracking 

Audit account  management 

User and Group  Management 

Policy change Tracking  Audit policy change  Security Policy Changes 

一度どの監査オプションを有効化するか決定すると、監査を有効化する為に以下 3 オプションから 1 つ をご利用いただけます。 Required Auditing コロンの必須監査設定については、 Auditing Option をご 参照下さい。 

  1. 

Requested Audit Policy から Auditing On を選択してサービス起動します。必要な監査設定が自動 的に有効化する EventSentry エージェントが得られます。 この場合、EventSentry エージェントにより、

no top-level o¥policies が overwriting policy settings set になっているか、ご確認下さい。 

      111 

  2. 

Audit process tracking を有効化する場合、いくつかのオプションがあります   

Windows NT4 

Administrative Tools より User Manager か User Manager for domains を開きます。次に

Policy=>Audit from the menu を選択、[Audit Option]隣のチェックボックス Success をチェックします。 

 

Windows2000(以上)アクティブディレクトリ無 

Administrative Tools の Local Security Policy を開きます。 Security Policy => Local Policies =>

Audit Policy へ進みます。[Auditing Option]をダブルクリックして、チェックボックス Success をチェッ クします。この変更には数分掛かります。 

 

Windows2000(以上)アクティブディレクトリ有 

適切なグループポリシーを開くか、 Domain Security Policy を開きます。ここから Audit Policy へ進 み[Auditing Potion]を Success に設定します。アクティブディレクトリの設定に拠りますが、Domain  Security Policy 以外のグループポリシーの修正が必要になるかもしれません。 

  3. 

セキュリティイベントログ Log Size は Overwrite events as needed へ設定する必要があります。また 最低 2048Kb 以上の容量設定を推奨します。 イベントログが正確に設定されていないと、EventSentry エージェントは起動時にエラーメッセージをアプリケーションイベントログに書き込みます。 

 

Log Size 設定を変更できます。(Administrative Tools から) Event Viewer を開き、 Security Log を 右クリックします。メニューより Properties を選択、 Log size が Overwrite event as needed に正確 に設定されたか確認します。また Maximum log size が十分な大きさがあるか、確認します。 

      112 

先に有効化した OS のプロセス追跡を無効にするには、 Requested Audit Policy を Auditing Off に設定します。繰返しますが、EventSentry エージェントで実行するいかなるポリシー変更で 

取り消しされるドメインポリシーが無いか、ご確認下さい。 

 

ドキュメント内 2 5 EventSentry (ページ 109-112)
今ダウンロードする "2 5 EventSentry"

Outline

関連したドキュメント