实时Windows安全事件日志监控

 

ADAudit Plus是一款屡获殊荣的集中式记录架构审计解决方案,让Microsoft Windows环境的管理员可以查看、监控、归档和获得实时告警,以及Windows安全日志事件的详尽审计报表。安全日志包含系统的审计策略指定的安全相关事件的记录。管理员可监控和跟踪未遂的和成功的未授权活动并排除问题。安全事件的例子包括:身份验证事件、审计事件、未授权事件,这些事件存储在操作系统的安全日志中。

 
集中监控和分析安全事件日志,了解Windows Active Directory和服务器中发生的更改;跟踪可疑的用户操作并确保在发生犯罪行为时执行快速的根本原因分析
使用200多种详细的事件特定GUI报表和电子邮件告警实时获得AD对象(用户、组、GPO、计算机、组织单位、DNS、AD架构和配置)更改的完整信息
为IT合规实现自动化报表和数据归档 - HIPAA需要7年的日志数据,PCI需要5年的日志数据...安全日志数据可用于内部安全审查和日志取证分析

为什么需要进行Windows安全事件日志监控?

为了符合SOX、PCI-DSS、FISMA、GLBA和HIPAA等安全合规要求,需要管理员实施安全的流程来阻止未遂或成功的未授权访问。不管是否需要遵守某些标准,对于每个企业来说,持续监控机密的网络信息都很重要。Windows安全事件日志是可用来跟踪和记录登录尝试的资源之一。手动检查每台Windows设备很繁琐,几乎无法完成,应该保证定期使事件日志的审计和监控实现自动化。
需要审计的关键Windows安全事件日志
4768 / 4771 帐户登录成功/失败
4624 / 4625 本地登录成功/失败
4647 用户发起的注销
4778 / 4779 终端服务会话已重新连接/断开
5136 / 5137 AD对象修改/创建/移动
5139 / 5141 AD对象已移动/删除
4670 使用旧属性和新属性实现的权限更改
4663 / 4659, 4660 文件访问/删除

可记录的Windows Server 2008安全日志事件的类型包括

可记录事件的数量是无限的,这意味着分析安全事件日志是一项耗时的任务。如果您希望审计成功、审计失败或根本不审计此类型的事件,则您需要在本地安全设置下面定义所需的高级审计策略,确保仅收集审计所需的安全日志,保证磁盘空间不会太快被不想要的日志填满。

下面是建议设置为审计的安全事件,可在高级审计策略设置中进行设置:域控制器 | Windows文件服务器 | Windows成员服务器 | Windows工作站

下面列出的是各种高级审计策略类别
帐户登录 记录域控制器或本地安全帐户管理器(SAM)上的帐户数据验证尝试。
帐户管理 监控用户和计算机帐户和组的更改。
详细跟踪 监控该计算机上的各应用程序和用户的活动。
目录服务访问 查看Active Directory域服务(AD DS)中的对象访问和修改尝试的详细审计记录。
登录/注销 跟踪以交互方式或通过网络登录计算机的尝试。跟踪用户活动和识别网络资源上的潜在攻击时,这些事件特别有用。
对象访问 跟踪访问网络或计算机上的特定对象或对象类型的尝试。
策略更改 跟踪本地系统或网络上的更改或更改重要安全策略的尝试。
权限使用 跟踪为了让用户或计算机完成规定的任务而在网络上为它们授予的权限。
系统 监控未包括在其他类别且有可能会产生安全影响的计算机的系统级更改。
全局对象访问审计 管理员可依照对象类型为文件系统或注册表定义计算机系统访问控制列表(SACL)。

促成有效SIEM解决方案的ADAudit Plus功能

 
向下滚动
 
易用
集中操作、基于Web的简单报表,甚至是非技术人员也可轻易看懂,并利用告警来帮助回答四个重要的W:‘谁’在‘何时’和‘哪里’执行了‘什么’操作!
 
保持合规
获得特定的“详细图形报表集”以符合SOX、HIPAA、GLBA、PCI和FISMA合规要求。此外,将结果导出为xls、html、pdf和csv格式
 
实时报表
通过200多个预配置的报表进行审计,可自动生成报表。使用50多个搜索属性并选择“营业/非营业/全天”来筛选结果
 
实时告警
屏幕上的实时告警,并可将告警通过电子邮件发送到您的收件箱!基于用户、时间和卷的阈值告警帮助准确识别问题
 
仪表板
在单个仪表板中查看关键的日常审计信息。您可分别监控Active Directory和文件服务器的活动
 
用户监控
实时用户登录审计解决方案,帮助跟踪Windows服务器环境中的用户活动,例如登录时间、登录历史、终端服务活动
 
Active Directory
实时监控有关用户、组、GPO、计算机、组织单位、容器、联系人、架构、配置、站点、DNS和权限的域更改信息
 
文件服务器
跟踪文件服务器/故障转移集群的文件(文件创建/修改/删除)和文件夹审计访问、共享和权限的文档更改
 
成员服务器
使用详细报表监控每项更改:摘要报表、过程跟踪、策略更改、系统事件、对象管理、计划任务...
 
工作站
使用网络中工作站的每个成功/失败登录事件的详细报表来监控每次用户登录/注销以及了解日常用户操作
 
NetApp / EMC
使用已创建/修改/删除文件的更改审计报表来监控NetApp Filer/EMC CIFS共享
 
数据归档
完全归档3年、5年或7年的数据以用于取证分析!获取历史报表并保存在磁盘空间
在ADAudit Plus中,

有200余个即用型安全性、取证与合规审计报表

 
登录/注销
监控工作站登录和注销,了解每个成功和失败的登录情况
 
文件服务器
审计Windows文件服务器、集群、EMC、NetApp文件和文件夹变更
 
成员服务器
使用报表跟踪每一个Windows服务器的变更:摘要报表...
 
登录/注销
  • • 审计用户的工作站登录和注销次数、登录持续时间
  • • 用户登录失败、登录历史、终端服务和RADIUS登录
  • • 查看预配置的报表,并为关键帐户设置电子邮件告警
Windows文件服务器
  • • 审计文件服务器、Windows故障转移集群、NetApp Filer和EMC服务器
  • • 监控失败的尝试和成功的文件创建、修改、删除和文件读取
  • • 文件的移动或重命名、复制-粘贴、修改和访问权限
Windows成员服务器
  • • 审计成员服务器、文件完整性监控、打印机和USB访问
  • • 监控本地登录、注销、登录持续时间、登录失败和登录历史
  • • 跟踪计划的任务、进程、文件夹审计和权限变更

我们的客户

展开