Windows事件审计

对于使用Windows设备的许多组织，公司内部的大多数活动都发生在Windows网络上。由于使用了如此多的Windows设备，因此多个专有应用程序（例如本机Windows防火墙，备份和虚拟机管理程序应用程序）在组织中也很流行。从Windows设备审核日志信息可以通过多种方式证明其价值，例如：

• 提供Windows事件日志严重性级别中所有网络活动的概述。
• 使用有关潜在违规，漏洞和异常的信息来保护网络。
• 总结用户活动和各种本机应用程序捕获的数据。
• 保护组织免受数据盗窃并监视可移动设备的使用。
• 查明令人关注的事件，例如多次登录失败或应用程序崩溃。
• 跟踪所有系统事件和注册表更改。

通过大量的预定义报表和告警，EventLog Analyzer可以自动执行审核Windows设备信息所需的繁琐任务。

使用EventLog Analyzer审核Windows设备

EventLog Analyzer提供：

• 支持较旧的EVT和较新的EVTX事件日志格式。这包括来自Windows NT，XP，Vista，2000、2003、2008、2012、7、8和10的服务器和客户端版本的审核日志。
• 针对各种本机应用程序的活动分析，包括Windows防火墙，Windows备份和还原以及Microsoft Hyper-V。
• 无代理程序技术，用于收集事件日志，并在必要时选择安装代理程序。
• 中央日志存储和数据标准化。
• 数以百计的预定义报表，包括合规报表。
• 安全，加密且灵活的日志归档。
• 通过电子邮件或SMS发送的实时告警，用于诸如登录失败，对象访问，网络异常等重大事件。
• 简单和高级的日志搜索选项可进行深入的日志取证。

Windows设备审核功能

日志收集

• Windows事件日志是使用无代理机制收集的。
• 在产品仪表板上查看所有收集的日志的摘要。
• 监视从仪表板上的每个Windows设备收集的日志的数量和类型（例如警告或故障）。

日志分析

• EventLog Analyzer为Windows设备审核提供了120多种预定义的报表，涵盖了广泛的事件。
• 报表既易于理解，又具有图形和表格形式。
• 通过电子邮件自定义，安排和分发报表。导出PDF和CSV格式的报表。

实时告警

• 实时接收有关重大事件的告警，包括以电子邮件或SMS形式发送的知名威胁（如潜在的安全漏洞）。
• 通过设置告警优先级，选择产生告警的条件等来自定义告警配置文件。
• 指定自动程序响应，例如生成SNMP陷阱或触发声音告警。

实时事件关联

• EventLog Analyzer具有实时事件日志关联功能，该功能可关联多个设备上的事件并在检测到潜在攻击模式时发出告警。
• 拥有70多个预定义的关联规则，使用简单的拖放界面即可创建识别可能的攻击模式的复杂规则。

合规性

• 使用预定义的报表来满足多个合规性法规，包括PCI DSS，HIPAA，SOX，GLBA，FISMA，ISO 27001：2013和GPG。
• 为所有与合规策略相关的事件生成告警，例如更改用户帐户或清除审核日志。
• 创建自定义合规报表，以跟上将来的合规要求。

记录取证

• EventLog Analyzer具有功能强大的搜索引擎，其中包含多个灵活的搜索选项，可简化根本原因分析。轻松发现引起安全事件的时间，位置和人员。
• 搜索原始和格式化的日志。
• 将搜索结果另存为一次性报表，或设置时间表以生成定期报表。根据搜索创建告警配置文件。

日志存档

• 日志经过安全压缩和存档，因此不会被篡改。
• 自定义日志存档文件，包括它们何时创建，以后删除以及它们的存储位置。
• 随时加载，搜索和报表存档文件，以了解有关事件范围的更多信息。

Windows设备报表

Windows设备的120多个预定义报表已归类为逻辑报表组，以方便访问。报表分为以下类别：

• Windows严重性报表：查看所有Windows事件日志，包括每个事件的严重性级别（成功，失败，信息，严重等）。
• Windows关键报表：根据关键级别，事件，设备和趋势查看重要事件。
• Windows系统事件：跟踪一些重要的系统事件，例如启动和关闭，服务和软件安装，Windows更新等等。
• 威胁报表：识别网络攻击（例如拒绝服务（DDoS）或降级攻击）以及其他影响网络安全的事件，例如关闭事件日志记录服务或锁定用户帐户。
• 可移动磁盘审核：彻底监视网络上可移动磁盘的使用情况，包括在可移动磁盘上执行的所有数据操作，例如创建，修改，删除等。
• 网络策略：监视由于网络策略而发生的事件，例如由于反复登录失败而导致的网络访问被授予或拒绝以及帐户锁定。
• 注册表更改：跟踪Windows注册表使用情况，并查看对注册表值的所有更改。
• Windows备份和还原：审核本机Windows备份软件Windows备份和还原上的所有活动。
• 应用程序崩溃：跟踪各种应用程序崩溃的原因，例如蓝屏死机（BSOD）错误，应用程序挂起，系统错误和其他应用程序错误。
• 应用程序白名单：查看有关成功运行或失败的应用程序的详细信息。
• 程序清单：跟踪应用程序的安装，更新和删除。
• Windows防火墙：审核Windows防火墙并跟踪对规则和策略的更改。识别防火墙阻止的各种攻击，例如欺骗攻击，泛洪攻击，ping死亡攻击等。
• 防病毒报表：查找有关各种流行的防病毒软件（包括ESET，Kaspersky，Sophos，Norton以及本机Windows防病毒和防恶意软件）检测到的威胁的详细信息。
• 数据盗窃：揭示来自各个访问点的数据盗窃，例如打印机，可移动媒体，数据库备份等。
• Hyper-V审核：审核Microsoft Hyper-V服务器和虚拟机上的活动，例如分区创建，Hyper-V交换机创建，VM创建，导入等。