Tengo un controlador de dominio y un servidor de archivos de Windows Server 2012r2. Habilité la auditoría para una carpeta específica que quiero monitorear. Estoy recopilando registros en un servidor Graylog centralizado. Obtengo los registros de auditoría correctamente, el problema es que también recibo un montón de registros de los archivos a los que accede el software AV Bitdefender y también el software de sincronización en la nube que uso para sincronizar mis archivos en la nube. Mi servidor Graylog se está sobrecargando con mensajes que no quiero. Puedo filtrar los mensajes que quiero en Graylog, pero como dije, no quiero recibirlos como registros de auditoría.
¿Hay alguna manera de excluir el programa AV y el programa de sincronización para que no se registren en el visor de eventos de Windows?
Gracias de antemano.
Respuesta1
Nunca había oído hablar de tal posibilidad en la auditoría de Windows y estoy bastante convencido de que no se puede lograr. Tal vez pueda mitigar el problema, si alguna de las siguientes opciones funciona para usted:
- Excluya esta carpeta de los análisis AV o ajuste la política de análisis de esta carpeta para que se excluyan los archivos de bajo riesgo (por ejemplo, TXT, etc.).
- Habilite la auditoría solo para archivos críticos
- Habilite la auditoría solo para operaciones específicas (por ejemplo, escritura); idealmente, el antivirus no editará sus archivos, ni tampoco la aplicación de sincronización en la nube.
- Deseche los registros de auditoría de Windows en favor de una solución especializada de monitoreo de integridad de archivos (FIM) o prevención de fuga de datos (DLP) que tenga estas capacidades.
Debo decir que estoy hablando de la opción de auditoría en sí. No sé específicamente cómo se recopilan los registros del visor de eventos. Tal vez haya una manera de filtrarlos antes de que salgan de la máquina con Windows al servidor Graylog; tal vez haya una manera de obligar a Graylog a enviar una consulta específica con estos registros filtrados. Pero eso sería más una cuestión sobre Graylog en sí, no sobre los registros de seguridad de Windows.
PD: Una pregunta semi-relacionada, también sin respuesta:Exclusión de tipos de archivos específicos de una auditoría de seguridad en Windows Server 2008
Respuesta2
No es posible seleccionar con granularidad qué eventos se registran para una subcategoría. Lo que podría es configurar un reenviador de eventos de Windows y especificar un filtro para la suscripción que suprima los eventos que no desea y luego hacer que ese servidor envíe su registro a su SIEM.
También puede revisar lo que está auditando. Si se requiere lectura, es posible que no haya flexibilidad. Si solo está interesado en modificaciones, puede excluir las distintas casillas de verificación de auditoría de lectura y eso puede ayudar con el volumen.