cmdline_audit のバックアップ(No.1)

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
cmdline_audit へ行く。
- 1 (2023-02-14 (火) 14:06:11)

・コマンドラインインターフェースの監査

・コマンドラインインターフェースの悪用
 ・ファイル削除
 ・ファイルとディレクトリの探索
 ・ローカルシステムからのデータ収集

設定方法 †

以下のグループポリシーを設定します。

監査ポリシーカテゴリの設定を上書きする
- [コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティ設定]>[ローカルポリシー]>[セキュリティオプション]>[監査: 監査ポリシーサブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシーカテゴリの設定を上書きする] の [このポリシーの設定を定義する] をチェックし、[有効] をクリックします。

監査プロセス作成の監査
- [コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティ設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[詳細追跡]>[プロセス作成の監査]の [成功]、[失敗] を構成します。

プロセス作成の監査にコマンドラインを含める
- [コンピューターの構成] >> [管理用テンプレート] >> [システム] >> [プロセス作成の監査] >> [プロセス作成イベントにコマンドラインを含める]のポリシー値を [有効] に設定します。

監査方法 †

イベントビューワーもしくは Message Analyzer で Event ID 4688 等を検索します。
JPCERT/CCの「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」を参考にしてください。

参考 †

コマンドラインプロセスの監査: https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing