我和一位同事一直在讨论 Windows 上的 IS 审计演示。
我们想说的一点是,管理员/高权限用户应在故障事件发生后的 X 小时内查看安全日志。如下所示
- 读取失败事件的ID
- 对管理员/特权用户的特权使用应用过滤器,限制为故障事件/安全事件日志的 ID
基本上,我想知道是否可以验证安全日志的最后一次查看时间以及查看者是谁。可以做到这一点吗?
答案1
我会采取不同的方法。集中式日志管理程序会根据特定服务器事件生成自己的事件,这些事件要么 1) 创建帮助台凭单,要么 2 允许使用管理工具确认事件。
请记住,您的工作是将需要审查的事件数量减少到绝对最低限度,否则您只会产生噪音并增加无用的工作量。服务器日志会产生大量噪音,因为它们背后几乎没有智能。