UEBA:付録:NetWitness UEBAのWindows監査ポリシー

Document created by RSA Information Design and Development Employee on Apr 29, 2019
Version 1Show Document
  • View in full screen mode

RSA NetWitness UEBAのメリットを最大化するために、RSAは、ここで説明するWindows監査ポリシーを実装することを推奨しています。

監査ポリシーの基本セットについては、Microsoftの記事「 Audit Policy Recommendations」の「Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, and Windows Server 2008 Audit Settings Recommendations」セクション参照してください。

必要な認証イベントとActive Directoryイベントをすべて監査するためには、「Stronger Recommendation」のポリシーに加えて、次のポリシーを設定する必要があります。

  • 詳細なファイル共有の監査
  • ファイル共有の監査
  • ファイル システムの監査

RSAでは、成功と失敗の両方のイベントの監査を有効にすることを推奨します。

次のWindowsイベントを監査する必要があります。

認証モデルの場合

           
462446254769

ADモデルの場合

                                                             
46704717472047224723472447254726
47274728472947304731473247334734
47354737473847394740474147424743
47544755475647574758 476447674794
513653765377     

ファイル アクセス モデルの場合

             
4660466346705145
You are here
Table of Contents > 付録:NetWitness UEBA Windowsの監査ポリシー

Attachments

    Outcomes