O PCI DSS 10.2 diz, " Implementar trilhas de auditoria automatizadas para todos os componentes do sistema para reconstruir os seguintes eventos: " e 10.2.2 continua, " Todas as ações tomadas por qualquer indivíduo com raiz ou privilégios administrativos. "
Estou lutando para que isso aconteça em nossas máquinas Windows (Windows 7, 8 e 2008R2).
O OSSEC pode registrar alterações em arquivos e entradas do Registro, mas é um ajuste inadequado para esse requisito, já que ele não registra quem fez a alteração.
Eu tentei usar a política de auditoria incorporada no Windows, por isso:
link
Então eu executei secpol.msc, fui para "Políticas locais" > "Política de Auditoria" e ativou Sucesso e Falha para todas as entradas.
Em seguida, escolhi uma pasta de dados raramente tocada como um teste: "Propriedades" > "Segurança" > "Avançado" > "Auditoria" > "Adicionar"
Select a principal: Administrators
Type: All
Access: Full control
Advanced Permissions: Only write, create and execute-related permissions checked.
Isso registra todo o acesso a arquivos na pasta, mas o problema é que o log de eventos agora é inundado com entradas não apenas dos membros explícitos do grupo Administradores, mas também aparentemente de qualquer processo com privilégios de administrador (como os processos antivírus).
Além disso, observe que o acima é apenas para uma pasta raramente acessada - eu terei que adicionar log para todas as pastas do sistema, etc., o que tornará o log flood muito pior.
Como posso registrar todas as atividades tomadas por usuários administradores (por 10.2.2 acima) sem todo esse ruído extra?
Além disso, a auditoria acima abrange as alterações do sistema de arquivos, mas como auditar as alterações do registro ?
Gostaria de receber conselhos sobre como cumprir o requisito acima (preferencialmente sem gastar muito dinheiro em um produto comercial).