禁用登录类型 3 事件审核

Question 1

较新的 Windows 版本允许使用策略或审计工具但即使在那里，您也只能选择整个“子类别”，而不能选择单个事件登录类型。

如果你需要更精细的过滤器，你可能不得不求助于一些外部日志服务器解决方案。你可以使用圈套特工收集、过滤并将事件转发到系统日志服务器，例如Kiwi 系统日志。

Answer

较新的 Windows 版本允许使用策略或审计工具但即使在那里，您也只能选择整个“子类别”，而不能选择单个事件登录类型。

如果你需要更精细的过滤器，你可能不得不求助于一些外部日志服务器解决方案。你可以使用圈套特工收集、过滤并将事件转发到系统日志服务器，例如Kiwi 系统日志。

Question 2

我们遇到了完全相同的问题，但我们遇到的不是 IIS，而是恶意应用程序，该应用程序每天在我们所有的客户端机器上生成数千个类型 3。我们能够使用 Cymbal SIEM 解决这个问题，并与他们合作丢弃不需要的事件。不幸的是，微软没有给我们在本地端点上除“审计成功/审计失败”之外的精细控制，因此您无法在该层进行控制。

但是，在企业环境中，您应该通过 SIEM 工具而不是在本地端点上解析事件。您的 SIEM 工具可能会从位于网络内的集中式收集服务器接收其事件数据。我们的 SIEM 提供商能够使用自定义 XML 查询为我们提供正确的过滤器，以防止任何不需要的事件发送到我们的收集服务器。他们说，使用集中式架构，本地端点捕获哪些事件类型并不重要，如果我们愿意，我们实际上可以将安全日志大小降低到个位数 MB。使用这种类型的设置，本地安全日志只是事件的临时缓存位置，直到它们被收集服务器拾取（通常是即时的）。

只要您获得适当的 SIEM 工具，您将能够拥有仪表板和过滤器来查看您想要的。

https://cymbal.cloud

Answer

我们遇到了完全相同的问题，但我们遇到的不是 IIS，而是恶意应用程序，该应用程序每天在我们所有的客户端机器上生成数千个类型 3。我们能够使用 Cymbal SIEM 解决这个问题，并与他们合作丢弃不需要的事件。不幸的是，微软没有给我们在本地端点上除“审计成功/审计失败”之外的精细控制，因此您无法在该层进行控制。

但是，在企业环境中，您应该通过 SIEM 工具而不是在本地端点上解析事件。您的 SIEM 工具可能会从位于网络内的集中式收集服务器接收其事件数据。我们的 SIEM 提供商能够使用自定义 XML 查询为我们提供正确的过滤器，以防止任何不需要的事件发送到我们的收集服务器。他们说，使用集中式架构，本地端点捕获哪些事件类型并不重要，如果我们愿意，我们实际上可以将安全日志大小降低到个位数 MB。使用这种类型的设置，本地安全日志只是事件的临时缓存位置，直到它们被收集服务器拾取（通常是即时的）。

只要您获得适当的 SIEM 工具，您将能够拥有仪表板和过滤器来查看您想要的。

https://cymbal.cloud

禁用登录类型 3 事件审核

答案1

答案2

相关内容