Windows監査(イベントログ)設定
Last-modified: 2019-10-14 (月) 14:20:00
Top/Windows監査(イベントログ)設定
設定対策?
Windows監査(イベントログ)設定 †
コマンドライン関連 †
| カテゴリー | Windows 10 STIG | 内容 |
| コマンドライン | V-68817 コマンドラインデータは、プロセス作成イベントに含める必要があります。 | 「プロセス作成イベントのコマンドラインデータを含める」を有効にすると、コマンドライン情報がプロセス作成イベントとともにログに記録されます。これにより、システム上でマルウェアが実行されたときに追加の詳細が提供されます。 |
| PowerShell | V-68819 PowerShellスクリプトブロックのログを有効にする必要があります。 | PowerShellスクリプトブロックのログを有効にすると、PowerShellコマンドとスクリプトの処理からの詳細情報が記録されます。これにより、システム上でマルウェアが実行されたときに追加の詳細が提供されます。 |
基本設定 †
| カテゴリー | Windows 10 STIG | 内容 |
| 基本設定 | V-63353 ローカルボリュームはNTFSを使用してフォーマットする必要があります。 | アクセス許可と監査を設定する機能は、システムのセキュリティと適切なアクセス制御を維持するために重要です。これをサポートするには、NTFSファイルシステムを使用してボリュームをフォーマットする必要があります。 |
| V-63527 システムイベントログのサイズは、32768 KB以上に設定する必要があります。 | ログのサイズが不適切な場合、ログはすぐにいっぱいになります。これにより、監査イベントが適切に記録されなくなり、管理者による頻繁な注意が必要になる場合があります。 | |
| V-63541 システムイベントログのアクセス許可は、非特権アカウントによるアクセスを防止する必要があります。 | 適切なアクセス許可が適用されない場合、システムイベントログが改ざんされやすくなります。 | |
| V-63519 アプリケーションイベントログのサイズは、32768 KB以上に構成する必要があります。 | ログのサイズが不適切な場合、ログはすぐにいっぱいになります。これにより、監査イベントが適切に記録されなくなり、管理者による頻繁な注意が必要になる場合があります。 | |
| V-63523 セキュリティイベントログのサイズは、1024000 KB以上に構成する必要があります。 | ログのサイズが不適切な場合、ログはすぐにいっぱいになります。これにより、監査イベントが適切に記録されなくなり、管理者による頻繁な注意が必要になる場合があります。 | |
| V-63533 アプリケーションイベントログのアクセス許可は、非特権アカウントによるアクセスを防止する必要があります。 | 適切なアクセス許可が適用されない場合、アプリケーションイベントログが改ざんされやすくなります。 | |
| V-63537 セキュリティイベントログのアクセス許可は、非特権アカウントによるアクセスを防止する必要があります。 | セキュリティイベントログは、適切なアクセス許可が適用されていない場合、機密情報を開示したり、改ざんされやすい可能性があります。 | |
| V-63635 サブカテゴリを使用した監査ポリシーを有効にする必要があります。 | この設定により、管理者はより正確な監査機能を有効にできます。 | |
| V-63927 [監査とセキュリティログの管理]ユーザー権利は、Administratorsグループにのみ割り当てる必要があります。 | 「監査とセキュリティログの管理」ユーザー権利を持つアカウントは、セキュリティログを管理し、監査構成を変更できます。これは、改ざんの証拠を明確にするために使用できます。 | |
| V-63887 [セキュリティ監査の生成]ユーザー権利は、ローカルサービスとネットワークサービスにのみ割り当てる必要があります。 | 「セキュリティ監査の生成」ユーザー権利は、定義されたシステムサービスアカウントのみである必要があるセキュリティログ監査レコードを生成できるユーザーとプロセスを指定します。 |
監査ポリシー †
| カテゴリー | Windows 10 STIG | 内容 |
| アカウント ログオン | V-63435 アカウントログオン-資格情報検証の成功を監査するようにシステムを構成する必要があります。 | 資格情報の検証は、ユーザーアカウントログオンの資格情報の検証テストに関連するイベントを記録します。 |
| V-63431 アカウントログオン-資格情報検証の失敗を監査するようにシステムを構成する必要があります。 | 資格情報の確認は、ユーザーアカウントログオンの資格情報の検証テストに関連するイベントを記録します。 | |
| アカウントの管理 | V-63441 システムは、アカウント管理-その他のアカウント管理イベントの成功を監査するように構成する必要があります。 | その他のアカウント管理は、パスワードハッシュへのアクセスや呼び出されるパスワードポリシーチェックAPIなどのイベントを記録します。 |
| V-63445 アカウント管理-セキュリティグループ管理の成功を監査するようにシステムを構成する必要があります。 | セキュリティグループ管理は、グループメンバーの変更を含む、セキュリティグループの作成、削除、変更などのイベントを記録します。 | |
| V-63447 システムは、アカウント管理-ユーザーアカウント管理の失敗を監査するように構成する必要があります。 | ユーザーアカウント管理は、ユーザーアカウントの作成、変更、削除、名前変更、無効化、有効化などのイベントを記録します。 | |
| V-63449 システムは、アカウント管理-ユーザーアカウント管理の成功を監査するように構成する必要があります。 | ユーザーアカウント管理は、ユーザーアカウントの作成、変更、削除、名前変更、無効化、有効化などのイベントを記録します。 | |
| オブジェクトアクセス | V-63471 システムは、オブジェクトアクセス-リムーバブルストレージの障害を監査するように構成する必要があります。 | リムーバブルメディアのオブジェクトアクセスを監査すると、リムーバブルストレージデバイス上のファイルシステムオブジェクトへのアクセス試行に関連するイベントが記録されます。 |
| V-63473 システムは、オブジェクトアクセス-リムーバブルストレージの成功を監査するように構成する必要があります。 | リムーバブルメディアのオブジェクトアクセスを監査すると、リムーバブルストレージデバイス上のファイルシステムオブジェクトへのアクセス試行に関連するイベントが記録されます。 | |
| V-74721 Windows 10は、オブジェクトアクセス-ファイル共有の成功を監査するように構成する必要があります。 | ファイルの共有の監査は、C$などのシステム共有を含むシステム上の共有への接続に関連するイベントを記録します。 | |
| V-74411 Windows 10は、オブジェクトアクセス-その他のオブジェクトアクセスイベントの成功を監査するように構成する必要があります。 | このデータの収集は、情報資産のセキュリティを分析し、疑わしい予期しない動作の兆候を検出するために不可欠です。その他のオブジェクトアクセスの監査は、タスクスケジューラジョブとCOM +オブジェクトの管理に関連するイベントを記録します。 | |
| V-74409 Windows 10は、オブジェクトアクセス-その他のオブジェクトアクセスイベントの失敗を監査するように構成する必要があります。 | その他のオブジェクトアクセスの監査は、タスクスケジューラジョブとCOM +オブジェクトの管理に関連するイベントを記録します。 | |
| V-75027 Windows 10は、オブジェクトアクセス-ファイル共有エラーを監査するように構成する必要があります。 | ファイルの共有の監査は、C $などのシステム共有を含むシステム上の共有への接続に関連するイベントを記録します。 | |
| システム | V-63499 システムは、システム-その他のシステムイベントの成功を監査するように構成する必要があります。 | その他のシステムイベントの監査は、暗号化キー操作とWindowsファイアウォールサービスに関連する情報を記録します。 |
| V-63491 システムは、システム-IPSecドライバーの失敗を監査するように構成する必要があります。 | IPSecドライバは、ドロップされたパケットなど、IPSecドライバに関連するイベントを記録します。 | |
| V-63495 システムは、システム-IPSecドライバーの成功を監査するように構成する必要があります。 | IPSecドライバは、ドロップされたパケットなど、IPSecドライバに関連するイベントを記録します。 | |
| V-63515 システム-システム整合性障害を監査するようにシステムを構成する必要があります。 | ステムの整合性は、整合性の違反に関連するイベントをセキュリティサブシステムに記録します。 | |
| V-63513 システムは、セキュリティ システムの拡張の成功を監査するように構成する必要があります。 | セキュリティ システムの拡張は、セキュリティサブシステムによってロードされる拡張コードに関連するイベントを記録します。 | |
| V-63507 システムは、システム-セキュリティ状態変更の成功を監査するように構成する必要があります。 | セキュリティ状態の変更は、システムの起動やシャットダウンなど、セキュリティ状態の変更に関連するイベントを記録します。 | |
| システム | V-63503 システムは、システム-その他のシステムイベントの失敗を監査するように構成する必要があります。 | その他のシステムイベントの監査は、暗号化キー操作とWindowsファイアウォールサービスに関連する情報を記録します。 |
| V-63517 システム-システムの整合性の成功を監査するようにシステムを構成する必要があります。 | システムの整合性は、整合性の違反に関連するイベントをセキュリティサブシステムに記録します。 | |
| 詳細追跡 | V-63451 詳細追跡-PNPアクティビティの成功を監査するようにシステムを構成する必要があります。 | プラグアンドプレイアクティビティは、外部デバイスの正常な接続に関連するイベントを記録します。 |
| V-63453 システムは、詳細追跡-プロセス作成の成功を監査するように構成する必要があります。 | プロセス作成は、プロセスおよびソースの作成に関連するイベントを記録します。 | |
| 特権の使用 | V-63487 特権の使用-機密特権の使用の成功を監査するようにシステムを構成する必要があります。 | 機密特権の使用は、「オペレーティングシステムの一部として機能する」や「プログラムのデバッグ」などの機密特権の使用に関連するイベントを記録します。 |
| V-63483 特権の使用-重要な特権の使用の失敗を監査するようにシステムを構成する必要があります。 | 機密特権の使用は、「オペレーティングシステムの一部として機能する」や「プログラムのデバッグ」などの機密特権の使用に関連するイベントを記録します。 | |
| ポリシーの変更 | V-71761 ポリシーの変更-承認ポリシーの変更の監査-変更の成功を監査するようにシステムを構成する必要があります。 | 承認ポリシーの変更の監査は、トークンオブジェクトの作成など、ユーザー権利の変更に関連するイベントを記録します。 |
| V-63481 システムは、ポリシー変更-認証ポリシー変更の成功を監査するように構成する必要があります。 | 認証ポリシーの変更は、Kerberosポリシーや信頼の変更など、認証ポリシーの変更に関連するイベントを記録します。 | |
| V-63475 システムは、ポリシーの変更を監査するように構成する必要があります-ポリシー変更の失敗を監査します。 | 監査ポリシーの変更は、監査ポリシーの変更に関連するイベントを記録します。 | |
| V-63479 システムは、ポリシー変更を監査するように構成する必要があります-ポリシー変更の成功を監査します。 | 監査ポリシーの変更は、監査ポリシーの変更に関連するイベントを記録します。 | |
| ログオン/ログオフ | V-63467 ログオン/ログオフ-ログオンの成功を監査するようにシステムを構成する必要があります。 | ログオンはユーザーのログオンを記録します。これが対話型ログオンの場合、ローカルシステムに記録されます。ネットワーク共有に対するものである場合、アクセスされたシステムに記録されます。 |
| V-63463 ログオン/ログオフ-ログオン失敗を監査するようにシステムを構成する必要があります。 | ログオンはユーザーのログオンを記録します。これが対話型ログオンの場合、ローカルシステムに記録されます。ネットワーク共有に対するものである場合、アクセスされたシステムに記録されます。 | |
| V-63469 ログオン/ログオフ-特別なログオンの成功を監査するようにシステムを構成する必要があります。 | 特別なログオンは、管理者権限を持ち、プロセスを昇格させるために使用できる特別なログオンを記録します。 | |
| V-63459 ログオン/ログオフ-ログオフの成功を監査するようにシステムを構成する必要があります。 | ログオフは、ユーザーのログオフを記録します。これが対話型ログオフの場合、ローカルシステムに記録されます。ネットワーク共有に対するものである場合、アクセスされたシステムに記録されます。 | |
| V-63457 ログオン/ログオフ-グループメンバーシップの成功を監査するようにシステムを構成する必要があります。 | グループメンバーシップの監査は、ユーザーのログオントークンのグループメンバーシップに関連する情報を記録します。 | |
| V-63455 ログオン/ログオフ-アカウントロックアウトの成功を監査するようにシステムを構成する必要があります。 | アカウントロックアウトイベントは、潜在的に悪意のあるログオン試行を識別するために使用できます。 | |
| V-71759 ログオン/ログオフ-アカウントロックアウトの失敗を監査するようにシステムを構成する必要があります。 | アカウントロックアウトイベントは、潜在的に悪意のあるログオン試行を識別するために使用できます。 |