cmdline_audit の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• cmdline_audit へ行く。
• cmdline_audit の差分を削除

#author("2023-02-14T16:19:27+09:00","","")
#author("2023-02-14T16:21:24+09:00","","")
[[・コマンドラインインターフェースの監査]]

[[・コマンドラインインターフェースの悪用]]~
[[・ファイル削除]]~
[[・ファイルとディレクトリの探索]]~
[[・ローカルシステムからのデータ収集]]~

*設定方法 [#xc952ab7]
以下のグループポリシーを設定します。
Default Domain Policy、Default Domain Controllers Policy それぞれで、以下のグループポリシーを設定します。

-監査ポリシー カテゴリの設定を上書きする
--[コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティ設定]>[ローカルポリシー]>[セキュリティオプション]>[監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする] の [このポリシーの設定を定義する] をチェックし、''[有効]'' をクリックします。

#ref(https://www.softwareisac.jp/ipa/image/AuditSub.png)
&br;
#ref(https://www.softwareisac.jp/ipa/image/AuditSub2.png)

-監査プロセス作成の監査
--[コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティ設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[詳細追跡]>[プロセス作成の監査]の ''[成功]''、''[失敗]'' を構成します。

#ref(https://www.softwareisac.jp/ipa/image/ProcAudit.png)
&br;
#ref(https://www.softwareisac.jp/ipa/image/ProcAudit2.png)

-プロセス作成の監査にコマンドラインを含める
--[コンピューターの構成] >> [管理用テンプレート] >> [システム] >> [プロセス作成の監査] >> [プロセス作成イベントにコマンドラインを含める]のポリシー値を ''[有効]'' に設定します。

#ref(https://www.softwareisac.jp/ipa/image/CmdAudit.png)
&br;
#ref(https://www.softwareisac.jp/ipa/image/CmdAudit2.png)


*監査方法 [#q35f959e]
イベントビューワーもしくは Message Analyzer で Event ID 4688 等を検索します。~
JPCERT/CCの [[「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」>https://www.jpcert.or.jp/research/20160628ac-ir_research.pdf]] を参考にしてください。

*参考 [#bd2907f4]
コマンド ライン プロセスの監査: https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing