Назад | Перейти на главную страницу

Как проверить, просмотрел ли администратор журнал аудита безопасности?

Мы с коллегой обсуждали демонстрацию аудита ИБ в Windows.

Один момент, который мы хотели бы затронуть, заключается в том, что административный пользователь / пользователь с высокими привилегиями должен просматривать журнал безопасности в течение X часов после сбоя. Что-то вроде следующего

  1. Считайте идентификатор события сбоя
  2. Примените фильтр к использованию привилегий администратором / пользователем с ограниченным доступом, ограниченным идентификатором журнала событий сбоя / безопасности

В основном я хотел бы знать, можно ли проверить, когда последний раз просматривался журнал безопасности и кем. Это можно сделать?

Я бы выбрал другой подход. Централизованная программа управления журналом, которая генерирует свои собственные события из определенных событий сервера, которые либо 1) создают заявки службы поддержки, либо 2 позволяют подтверждать события с помощью инструмента управления.

Имейте в виду, ваша задача - свести количество событий, которые необходимо просмотреть, до абсолютного минимума, иначе вы просто создаете шум и добавляете бесполезную рабочую нагрузку. Журналы сервера создают много шума, потому что за ними стоит мало интеллекта.