Como posso verificar se um administrador visualizou o log de auditoria de segurança?

Navegue suas respostas
3

Um colega e eu discutimos uma demonstração de auditoria de IS no Windows.

Um ponto que gostaríamos de abordar é que um usuário administrativo / de alto privilégio deve visualizar o log de segurança dentro de X horas de um evento de falha. Algo como segue

  1. Leia o ID de um evento de falha
  2. Aplicar um filtro ao uso de privilégio por um usuário administrador / particular restrito ao ID do evento de falha / log de eventos de segurança

Basicamente, gostaria de saber se é possível verificar quando o log de segurança foi visualizado pela última vez e por quem. Isso pode ser feito?

    
por Everyone 25.02.2012 / 10:32

1 resposta

4

Eu teria uma abordagem diferente. Um programa de gerenciamento de log centralizado que gera seus próprios eventos a partir de eventos de servidor específicos que: 1) criam tickets do help desk ou 2 permitem que eventos sejam reconhecidos com a ferramenta mgmt.

Lembre-se de que seu trabalho é reduzir o número de eventos que precisam ser revisados para um mínimo absoluto ou se você estiver gerando ruído e adicionando carga de trabalho inútil. Os logs do servidor geram muito ruído porque há pouca inteligência por trás deles.

    
por 25.02.2012 / 17:13

Tags

Implementação de software do RAID 10 em um Windows Server 2008 em execução no Amazon EC2 Permissões de usuário adicionadas com set-acl não são herdadas para arquivos e subpastas