A auditoria do Windows pode ser usada em todo o sistema?

Navegue suas respostas
1

Estou no processo de criar um honeypot de alta interação usando um sistema Windows e preciso auditar cada pequena coisa que acontece no honeypot.

Eu entendo que isso pode ser feito em um único objeto, como um arquivo ou uma pasta, mas preciso auditar todo o sistema.

Então eu crio uma auditoria para cada diretório do sistema, ou existe uma maneira de auditar todo o sistema?

    
por user1973385 17.06.2017 / 23:14

1 resposta

0

Você precisa ativar: Política de auditoria avançada > Auditoria de acesso a objetos globais > Sistema de arquivo.

No entanto, isso gerará uma quantidade considerável de ruído e não ocorrerá "até a última coisinha". Você pode querer reconsiderar a auditoria de todas as atividades do sistema de arquivos e, em vez disso, auditar seletivamente algumas pastas e combinar a auditoria do Windows com o Microsoft Sysinternals Sysmon:

link

O Sysmon fornece:

  • auditoria para eventos não incluídos na auditoria do Windows (DriverLoaded, Pipes nomeados, RawAccessRead, NetworkConnection, CreateRemoteThread, ProcessAccess, RegistryKey / Criar / modificar / excluir).
  • granularidade mais fina de controle / filtragem.
  • mais detalhes para análise forense, como o guid do processo e o guid do processo pai, e valores para alguns dados que são alterados.

Como ir de responder à caça com o Sysmon Sysinternals
link

Auditar o acesso global a objetos do sistema de arquivos

Esta configuração de política permite aplicar uma política abrangente de auditoria de acesso a objetos a todos os arquivos e pastas no sistema de arquivos de um computador. A configuração dessa configuração também permite demonstrar que todos os arquivos e pastas no computador são monitorados por uma política de auditoria gerenciada a partir de um local central.

Essa configuração aplica uma lista de controle de acesso (SACL) do sistema global a todos os arquivos e pastas. Se um arquivo ou uma pasta SACL e uma SACL global estiverem configurados em um computador, a SACL efetiva será derivada da combinação do arquivo ou da pasta SACL e da SACL global. Isso significa que um evento de auditoria é gerado quando uma atividade corresponde ao arquivo ou à pasta SACL ou à SACL global.

Para configurar uma política de acesso a objetos globais, você deve selecionar Definir esta configuração de política e clicar em Configurar para adicionar pelo menos um usuário ou grupo à SACL global. Você também deve ativar a configuração do sistema de arquivos de auditoria em Configuração de Diretiva de Auditoria Avançada \ Diretivas de Auditoria do Sistema \ Acesso ao Objeto.

Volume: depende da SACL efetiva e do nível de atividade do usuário.

    
por 18.06.2017 / 14:33

Tags

Erro 13 de montagem com o Ubuntu 16.04 e o Azure (mesma região) DHCP, AD pára todos os dias