Ich habe einen Windows Server 2012r2-Domänencontroller und einen Dateiserver. Ich habe die Überwachung für einen bestimmten Ordner aktiviert, den ich überwachen möchte. Ich sammle Protokolle auf einem zentralen Graylog-Server. Ich erhalte die Überwachungsprotokolle korrekt, das Problem ist, dass ich auch eine Menge Protokolle der Dateien erhalte, auf die von der Antivirussoftware Bitdefender und auch von der Cloud-Sync-Software zugegriffen wird, die ich zum Synchronisieren meiner Dateien in der Cloud verwende. Mein Graylog-Server wird mit unerwünschten Nachrichten überlastet. Ich kann die gewünschten Nachrichten in Graylog filtern, aber wie gesagt, ich möchte sie nicht als Überwachungsprotokolle erhalten.
Gibt es eine Möglichkeit, das AV-Programm und das Synchronisierungsprogramm von der Anmeldung in der Windows-Ereignisanzeige auszuschließen?
Dank im Voraus.
Antwort1
Ich habe noch nie von einer solchen Möglichkeit in der Windows-Überprüfung gehört und bin ziemlich davon überzeugt, dass dies nicht erreicht werden kann. Vielleicht können Sie das Problem eindämmen, wenn eine der folgenden Möglichkeiten für Sie funktioniert:
- Schließen Sie diesen Ordner von Antivirus-Scans aus oder passen Sie die Scan-Richtlinie für diesen Ordner so an, dass Dateien mit geringem Risiko (z. B. TXT usw.) ausgeschlossen werden.
- Aktivieren Sie die Überwachung nur für kritische Dateien
- Aktivieren Sie die Überwachung nur für bestimmte Vorgänge (z. B. Schreiben). Im Idealfall werden Ihre Dateien weder vom Virenschutz noch von der Cloud-Synchronisierungs-App bearbeitet.
- Löschen Sie die Windows-Überwachungsprotokolle und verwenden Sie stattdessen eine spezielle Lösung zur Dateiintegritätsüberwachung (FIM) oder Datenleckprävention (DLP), die über diese Funktionen verfügt.
Ich muss sagen, dass ich über die Audit-Option selbst spreche. Ich weiß nicht genau, wie Sie Protokolle aus der Ereignisanzeige sammeln. Vielleicht gibt es eine Möglichkeit, sie zu filtern, bevor sie vom Windows-Computer zum Graylog-Server gelangen; vielleicht gibt es eine Möglichkeit, Graylog zu zwingen, eine bestimmte Abfrage mit diesen gefilterten Protokollen zu senden. Aber das wäre eher eine Frage zu Graylog selbst, nicht zu den Windows-Sicherheitsprotokollen.
PS: Eine teilweise damit zusammenhängende Frage, die ebenfalls unbeantwortet blieb:Ausschließen bestimmter Dateitypen von einer Sicherheitsüberprüfung in Windows Server 2008
Antwort2
Es ist nicht möglich, detailliert auszuwählen, welche Ereignisse für eine Unterkategorie protokolliert werden. Sie können einen Windows-Ereignisweiterleiter einrichten und einen Filter für das Abonnement angeben, der die unerwünschten Ereignisse unterdrückt. Anschließend kann dieser Server sein Protokoll an Ihr SIEM senden.
Sie können auch überprüfen, was Sie prüfen. Wenn Lesen erforderlich ist, besteht möglicherweise keine Flexibilität. Wenn Sie nur an Änderungen interessiert sind, können Sie die verschiedenen Kontrollkästchen für die Leseprüfung ausschließen. Dies kann beim Volumen hilfreich sein.