RSA empfiehlt, die hier beschriebenen Windows-Überwachungsrichtlinien umzusetzen. So ziehen Sie den größten Nutzen aus RSA NetWitness UEBA.
Informationen zu den grundlegenden Überwachungsrichtlinien finden Sie im Abschnitt „Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, und Windows Server 2008 Überwachungseinstellungen“ des folgenden Microsoft-Artikels: Empfehlungen zu Überwachungsrichtlinien.
Die Richtlinien unter „Nachdrücklichere Empfehlung“ sind ebenso erforderlich wie die folgenden Richtlinien, damit alle erforderlichen Authentifizierungs- und Active Directory-Ereignisse sicher überwacht werden:
- Überwachung detaillierter Dateifreigabe
- Überwachung der Dateifreigabe
- Überwachung des Dateisystems
RSA empfiehlt, die Überwachung sowohl für Erfolge als auch für Misserfolge zu aktivieren.
Folgende Windows-Ereignisse müssen überwacht werden:
Für die Authentifizierungsmodelle:
| 4624 | 4625 | 4769 |
Für die AD-Modelle:
| 4670 | 4717 | 4720 | 4722 | 4723 | 4724 | 4725 | 4726 |
| 4727 | 4728 | 4729 | 4730 | 4731 | 4732 | 4733 | 4734 |
| 4735 | 4737 | 4738 | 4739 | 4740 | 4741 | 4742 | 4743 |
| 4754 | 4755 | 4756 | 4757 | 4758 | 4764 | 4767 | 4794 |
| 5136 | 5376 | 5377 |
Für Dateizugriffsmodelle:
| 4660 | 4663 | 4670 | 5145 |