私は Windows Server 2012r2 ドメイン コントローラーとファイル サーバーを所有しています。監視したい特定のフォルダーの監査を有効にしました。集中化された Graylog サーバーでログを収集しています。監査ログは正しく取得していますが、問題は、AV ソフトウェア Bitdefender によってアクセスされているファイルのログも大量に取得していることと、クラウドでファイルを同期するために使用しているクラウド同期ソフトウェアによってアクセスされているファイルのログも大量に取得していることです。Graylog サーバーは、不要なメッセージで過負荷になっています。Graylog で必要なメッセージをフィルター処理できますが、前述したように、監査ログとして受信したくはありません。
AV プログラムと同期プログラムを Windows イベント ビューアーに記録されないようにする方法はありますか?
前もって感謝します。
答え1
Windows 監査でそのような可能性があると聞いたことはなく、これは実現不可能だと確信しています。以下のいずれかの方法が有効な場合は、問題を軽減できる可能性があります。
- このフォルダを AV スキャンから除外するか、このフォルダのスキャン ポリシーを調整して、リスクの低いファイル (TXT など) が除外されるようにします。
- 重要なファイルのみ監査を有効にする
- 特定の操作 (書き込みなど) のみの監査を有効にします。理想的には、ウイルス対策ソフトウェアはファイルを編集せず、クラウド同期アプリもファイルを編集しません。
- Windows 監査ログをダンプし、これらの機能を備えた特殊なファイル整合性監視 (FIM) またはデータ漏洩防止 (DLP) ソリューションを使用します。
監査オプション自体について話しているということを述べなければなりません。イベント ビューアーからログを収集する方法は具体的にはわかりません。ログが Windows マシンから graylog サーバーに送信される前にフィルターする方法があるかもしれません。あるいは、これらのログをフィルターした特定のクエリを Graylog に送信するように強制する方法があるかもしれません。しかし、それは Windows セキュリティ ログではなく、Graylog 自体に関する質問です。
PS 少し関連のある質問ですが、これも未回答です:Windows Server 2008 のセキュリティ監査から特定のファイル タイプを除外する
答え2
サブカテゴリのどのイベントをログに記録するかを細かく選択することはできません。Windows イベント フォワーダーを設定し、不要なイベントを抑制するサブスクリプションのフィルターを指定して、そのサーバーから SIEM にログを送信するようにすることができます。
監査対象を確認する方法もあります。読み取りが必要な場合は、柔軟性がない可能性があります。変更のみに関心がある場合は、さまざまな読み取り監査チェックボックスを除外すると、ボリュームの削減に役立つ場合があります。