Мы с коллегой обсуждали демонстрацию аудита ИБ в Windows.
Один момент, который мы хотели бы затронуть, заключается в том, что административный пользователь / пользователь с высокими привилегиями должен просматривать журнал безопасности в течение X часов после сбоя. Что-то вроде следующего
В основном я хотел бы знать, можно ли проверить, когда последний раз просматривался журнал безопасности и кем. Это можно сделать?
Я бы выбрал другой подход. Централизованная программа управления журналом, которая генерирует свои собственные события из определенных событий сервера, которые либо 1) создают заявки службы поддержки, либо 2 позволяют подтверждать события с помощью инструмента управления.
Имейте в виду, ваша задача - свести количество событий, которые необходимо просмотреть, до абсолютного минимума, иначе вы просто создаете шум и добавляете бесполезную рабочую нагрузку. Журналы сервера создают много шума, потому что за ними стоит мало интеллекта.