2020.10.19
ae-003
システム監査ポリシーの変更操作を把握したい
Windowsのシステム監査ポリシーが不正に変更されてしまっていると、セキュリティ上危険であり、乗っ取られている可能性があるので、そういったポリシー変更の操作があるかどうかを把握したい。
サイバー攻撃を受けていないかどうかを検知する方法として、攻撃者は自分の攻撃の痕跡を消すためにイベントログを消去して証拠隠滅を行うことがあるので、Active DirectoryのイベントID:1102のログを基に、監査ログの消去が行われる操作があった端末について集計します。
集計された内容をについて、該当する操作が意図しない不正な変更ではないかを判断するために、該当ログの操作時間、操作端末等をレポートして調べます。ALog EVAのサイバー攻撃自動検知パックを利用すれば、システム監査ポリシー変更の操作を簡単にレポートできます。
ALog EVA サイバー攻撃自動検知パック
[区 分] セキュリティ
[環 境] Windows
[タ グ] サイバー攻撃, 不正アクセス, ログ解析
[関 連]