Журналы аудита Windows Server

Question 1

Я никогда не слышал о такой возможности в аудите Windows, и я почти уверен, что этого достичь невозможно. Возможно, вы сможете смягчить проблему, если что-то из нижеперечисленного сработает для вас:

Исключите эту папку из сканирования AV или настройте политику сканирования для этой папки так, чтобы файлы с низким уровнем риска (например, TXT и т. д.) были исключены
Включить аудит только для критических файлов
Включите аудит только для определенных операций (например, записи) — в идеале антивирус не будет редактировать ваши файлы, как и приложение облачной синхронизации.
Выполняйте сброс журналов аудита Windows в пользу специализированного решения для мониторинга целостности файлов (FIM) или предотвращения утечки данных (DLP), которое обладает такими возможностями.

Я должен сказать, что говорю о самой опции аудита. Я не знаю конкретно, как вы собираете журналы из Event viewer. Может быть, есть способ отфильтровать их до того, как они покинут машину Windows и попадут на сервер Graylog; может быть, есть способ заставить Graylog отправить определенный запрос с этими отфильтрованными журналами. Но это скорее вопрос о самом Graylog, а не о журналах безопасности Windows.

PS Частично связанный вопрос, также оставшийся без ответа:Исключение определенных типов файлов из аудита безопасности в Windows Server 2008

Answer

Я никогда не слышал о такой возможности в аудите Windows, и я почти уверен, что этого достичь невозможно. Возможно, вы сможете смягчить проблему, если что-то из нижеперечисленного сработает для вас:

Исключите эту папку из сканирования AV или настройте политику сканирования для этой папки так, чтобы файлы с низким уровнем риска (например, TXT и т. д.) были исключены
Включить аудит только для критических файлов
Включите аудит только для определенных операций (например, записи) — в идеале антивирус не будет редактировать ваши файлы, как и приложение облачной синхронизации.
Выполняйте сброс журналов аудита Windows в пользу специализированного решения для мониторинга целостности файлов (FIM) или предотвращения утечки данных (DLP), которое обладает такими возможностями.

Я должен сказать, что говорю о самой опции аудита. Я не знаю конкретно, как вы собираете журналы из Event viewer. Может быть, есть способ отфильтровать их до того, как они покинут машину Windows и попадут на сервер Graylog; может быть, есть способ заставить Graylog отправить определенный запрос с этими отфильтрованными журналами. Но это скорее вопрос о самом Graylog, а не о журналах безопасности Windows.

PS Частично связанный вопрос, также оставшийся без ответа:Исключение определенных типов файлов из аудита безопасности в Windows Server 2008

Question 2

Невозможно выбрать с детализацией, какие события для подкатегории будут регистрироваться. Что вы могли бы сделать, так это настроить Windows Event Forwarder и указать фильтр для подписки, который подавляет нежелательные события, а затем заставить этот сервер отправлять свой журнал в ваш SIEM.

Вы также можете просмотреть, что вы проверяете. Если требуется чтение, гибкости может не быть. Если вас интересуют только изменения, вы можете исключить различные флажки аудита чтения, и это может помочь с объемом.

Answer

Невозможно выбрать с детализацией, какие события для подкатегории будут регистрироваться. Что вы могли бы сделать, так это настроить Windows Event Forwarder и указать фильтр для подписки, который подавляет нежелательные события, а затем заставить этот сервер отправлять свой журнал в ваш SIEM.

Вы также можете просмотреть, что вы проверяете. Если требуется чтение, гибкости может не быть. Если вас интересуют только изменения, вы можете исключить различные флажки аудита чтения, и это может помочь с объемом.

Журналы аудита Windows Server

решение1

решение2

Связанный контент