ИТ-архитектура от А до Я: Комплексное решение. Первое издание - стр. 43

Аудит и контроль логов

Срок хранения логов как правило порядка 12 месяцев. В зависимости от наличия системы централизованного сбора логов или политики ИБ организации, событий могут хранится отдельно или в составе архивных копий виртуальных машин. Журнал логов должен быть доступен сотрудникам департамента Безопасности. Должно быть обеспечена целостность и неизменность логов на всем протяжении жизненного цикла.

Требуется, через групповые политики, настроить следующие механизмы аудита:

•Computer\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy

•Computer\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies

•Computer\Policies\Windows Settings\Security Settings\Local Policies\Security Options

•Audit Account Logon Event

•Audit Account Management

•Audit Directory Service Access

•Audit Logon Events (Local Computer)

•Audit Object Access (Access non-Active Directory objects)

•Audit Policy Changes

•Audit Privilege use

•Audit Process Tracking

•Audit System events

Помимо этого, совместно с подразделением Информационной Безопасности необходимо определить перечень значимых событий для мониторинга или настройки системы SIEM. Как пример для данного сервиса можно использовать следующие события:

Код события | Назначение

12 Смена пароля администратора утилитой LAPS (AdmPwd);

13 Сохранение пароля администратора утилитой LAPS (AdmPwd);

866 Запуск исполняемого файла из запрещенного правила SRP;

1102 Очищен лог журнала аудита;

4706 Создано доверительное отношение домену;

4713 Kerberos политика была изменена;

4715 Аудит политика (SACL) для объекта была изменена;

4724 Попытка сброса пароля;

4727 Создана «security-enabled global» группа;

4739 Изменена политика домена (Domain Policy);

4780 ACL установлена для учетной записи группы администраторов;

4865 Добавлена информация, относительно «trusted forest»;

4867 Изменена информация, относительно «trusted forest»;

4907 Настройки аудита объекта изменены;

6145 Ошибки при обработке security policy групповых политик;

4609 Windows выключен;

4624 Учетная запись удачно вошла в систему;

4625 Запись «failed to log on» находясь в статусе «locked out»;

4634 Учетная запись вышла из системы;

4648 A logon attempted using explicit credentials.

4720 Создана пользовательская учетная запись;

4722 Пользовательская учетная запись активирована;

4723 Попытка изменения пароля учетной записи;

4724 Пароль сброшен другой учетной записью;

4725 Пользовательская учетная запись отключена;

4726 Пользовательская учетная запись удалена;

4728 Добавлен объект в «security-enabled global» группу;

4729 Объект удален из «security-enabled global» группы;

4730 «A security-enabled global» группа удалена;

4731 «A security-enabled local» группа создана;

4732 Добавлен объект в «security-enabled local» группу;

4733 Объект удален из «security-enabled local» группы;

4734 «A security-enabled local» группа удалена;

4738 Пользовательская учетная запись изменена;

4740 Пользовательская учетная запись заблокирована;

4741 Компьютерная учетная запись изменена;

4742 Компьютерная учетная запись изменена;

4743 Компьютерная учетная запись удалена;

4756 Объект добавлен в «security-enabled universal» группу;

4757 Объект удален из «security-enabled universal» группы;

4767 Пользовательская учетная запись разблокирована;