・コマンドラインインターフェースの監査 の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• ・コマンドラインインターフェースの監査 へ行く。
• ・コマンドラインインターフェースの監査 の差分を削除

#author("2020-11-04T11:01:04+09:00","","")
#author("2020-11-04T11:01:37+09:00","","")
[[・コマンドラインインターフェースの悪用]]~
[[・ファイル削除]]~
[[・ファイルとディレクトリの探索]]~
[[・ローカルシステムからのデータ収集]]~

*設定方法 [#xc952ab7]
以下のグループポリシーを設定します。
-監査ポリシー カテゴリの設定を上書きする
--[コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティ設定]>[ローカルポリシー]>[セキュリティオプション]>[監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする] の [このポリシーの設定を定義する] をチェックし、''[有効]'' をクリックします。

-監査プロセス作成の監査
--[コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティ設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[詳細追跡]>[プロセス作成の監査]の ''[成功]''、''[失敗]'' を構成します。

-プロセス作成の監査にコマンドラインを含める
--[コンピューターの構成] >> [管理用テンプレート] >> [システム] >> [プロセス作成の監査] >> [プロセス作成イベントにコマンドラインを含める]のポリシー値を ''[有効]'' に設定します。


*監査方法 [#q35f959e]
イベントビューワーもしくは Message Analyzer で Event ID 4688 を検索します。~
イベントビューワーもしくは Message Analyzer で Event ID 4688 等を検索します。~
JPCERT/CCの [[「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」>https://www.jpcert.or.jp/research/20160628ac-ir_research.pdf]] を参考にしてください。

*参考 [#bd2907f4]
コマンド ライン プロセスの監査: https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing