Eu tenho um controlador de domínio e servidor de arquivos do Windows Server 2012r2. Ativei a auditoria para uma pasta específica que desejo monitorar. Estou coletando logs em um servidor graylog centralizado. Estou obtendo os logs de auditoria corretamente, o problema é que também estou recebendo uma tonelada de logs dos arquivos que estão sendo acessados pelo software AV Bitdefender e também pelo software de sincronização em nuvem que uso para sincronizar meus arquivos na nuvem. Meu servidor graylog está ficando sobrecarregado com mensagens que não quero. Posso filtrar as mensagens que desejo no graylog, mas como disse, não quero recebê-las como logs de auditoria.
Existe alguma maneira de excluir o programa AV e o programa de sincronização do login no visualizador de eventos do Windows?
Desde já, obrigado.
Responder1
Nunca ouvi falar dessa possibilidade na auditoria do Windows e estou bastante convencido de que isso não pode ser alcançado. Talvez você possa atenuar o problema, se alguma das opções abaixo funcionar para você:
- Exclua esta pasta das verificações AV ou ajuste a política de verificação para esta pasta para que arquivos de baixo risco (por exemplo, TXT etc.) sejam excluídos
- Habilite a auditoria apenas para arquivos críticos
- Habilite a auditoria apenas para operações específicas (por exemplo, gravação) - idealmente, o antivírus não editará seus arquivos, nem o aplicativo de sincronização na nuvem.
- Descarte os logs de auditoria do Windows em favor de uma solução especializada de monitoramento de integridade de arquivos (FIM) ou de prevenção de vazamento de dados (DLP) que tenha esses recursos.
Devo afirmar que estou falando da própria opção de auditoria. Não sei especificamente como você coleta logs do Visualizador de eventos. Talvez haja uma maneira de filtrá-los antes que eles saiam da máquina Windows para o servidor graylog; talvez haja uma maneira de forçar o Graylog a enviar uma consulta específica com esses logs filtrados. Mas isso seria mais uma questão sobre o próprio Graylog, não sobre os logs de segurança do Windows.
PS Uma pergunta semi-relacionada, também sem resposta:Excluindo tipos de arquivos específicos de uma auditoria de segurança no Windows Server 2008
Responder2
Não é possível selecionar com granularidade quais eventos de uma subcategoria serão registrados. O que você pode fazer é configurar um encaminhador de eventos do Windows e especificar um filtro para a assinatura que suprime os eventos indesejados e, em seguida, fazer com que o servidor envie seu log para o seu SIEM.
Você também pode revisar o que está auditando. Se a leitura for necessária, pode não haver flexibilidade. Se você estiver interessado apenas em modificações, poderá excluir as várias caixas de seleção de auditoria de leitura e isso pode ajudar com o volume.