实时Windows安全事件日志审计和报表解决方案

实时Windows安全事件日志监控

ADAudit Plus是一款屡获殊荣的集中式记录架构审计解决方案，让Microsoft Windows环境的管理员可以查看、监控、归档和获得实时告警，以及Windows安全日志事件的详尽审计报表。安全日志包含系统的审计策略指定的安全相关事件的记录。管理员可监控和跟踪未遂的和成功的未授权活动并排除问题。安全事件的例子包括：身份验证事件、审计事件、未授权事件，这些事件存储在操作系统的安全日志中。

集中监控和分析安全事件日志，了解Windows Active Directory和服务器中发生的更改；跟踪可疑的用户操作并确保在发生犯罪行为时执行快速的根本原因分析

使用200多种详细的事件特定GUI报表和电子邮件告警实时获得AD对象（用户、组、GPO、计算机、组织单位、DNS、AD架构和配置）更改的完整信息

为IT合规实现自动化报表和数据归档 - HIPAA需要7年的日志数据，PCI需要5年的日志数据...安全日志数据可用于内部安全审查和日志取证分析

为什么需要进行Windows安全事件日志监控？

为了符合SOX、PCI-DSS、FISMA、GLBA和HIPAA等安全合规要求，需要管理员实施安全的流程来阻止未遂或成功的未授权访问。不管是否需要遵守某些标准，对于每个企业来说，持续监控机密的网络信息都很重要。Windows安全事件日志是可用来跟踪和记录登录尝试的资源之一。手动检查每台Windows设备很繁琐，几乎无法完成，应该保证定期使事件日志的审计和监控实现自动化。

需要审计的关键Windows安全事件日志
4768 / 4771	帐户登录成功/失败
4624 / 4625	本地登录成功/失败
4647	用户发起的注销
4778 / 4779	终端服务会话已重新连接/断开
5136 / 5137	AD对象修改/创建/移动
5139 / 5141	AD对象已移动/删除
4670	使用旧属性和新属性实现的权限更改
4663 / 4659, 4660	文件访问/删除

可记录的Windows Server 2008安全日志事件的类型包括

可记录事件的数量是无限的，这意味着分析安全事件日志是一项耗时的任务。如果您希望审计成功、审计失败或根本不审计此类型的事件，则您需要在本地安全设置下面定义所需的高级审计策略，确保仅收集审计所需的安全日志，保证磁盘空间不会太快被不想要的日志填满。

下面是建议设置为审计的安全事件，可在高级审计策略设置中进行设置：域控制器 | Windows文件服务器 | Windows成员服务器 | Windows工作站

下面列出的是各种高级审计策略类别
帐户登录	记录域控制器或本地安全帐户管理器(SAM)上的帐户数据验证尝试。
帐户管理	监控用户和计算机帐户和组的更改。
详细跟踪	监控该计算机上的各应用程序和用户的活动。
目录服务访问	查看Active Directory域服务(AD DS)中的对象访问和修改尝试的详细审计记录。
登录/注销	跟踪以交互方式或通过网络登录计算机的尝试。跟踪用户活动和识别网络资源上的潜在攻击时，这些事件特别有用。
对象访问	跟踪访问网络或计算机上的特定对象或对象类型的尝试。
策略更改	跟踪本地系统或网络上的更改或更改重要安全策略的尝试。
权限使用	跟踪为了让用户或计算机完成规定的任务而在网络上为它们授予的权限。
系统	监控未包括在其他类别且有可能会产生安全影响的计算机的系统级更改。
全局对象访问审计	管理员可依照对象类型为文件系统或注册表定义计算机系统访问控制列表(SACL)。