我正在使用 Windows 系统创建高交互蜜罐,并且需要审核蜜罐上发生的每一件小事。
我明白这可以对单个对象(例如文件或文件夹)完成,但我需要审核整个系统。
那么我是否要为系统上的每个目录创建审核,或者是否有办法审核整个系统?
答案1
您需要启用:高级审计策略>全局对象访问审计>文件系统。
但是,这会产生大量的噪音,并且无法“发现所有细节”。您可能需要重新考虑审核所有文件系统活动,而是有选择地审核某些文件夹,并将 Windows 审核与 Microsoft Sysinternals Sysmon 结合起来:
https://technet.microsoft.com/en-us/sysinternals/sysmon
Sysmon 提供:
- 审核 Windows 审核中未包含的事件(DriverLoaded、Named Pipes、RawAccessRead、NetworkConnection、CreateRemoteThread、ProcessAccess、RegistryKey/Value 创建/修改/删除)。
- 更细粒度的控制/过滤。
- 更详细的取证分析信息,例如进程 GUID 和父进程 GUID,以及一些发生变化的数据的值。
如何使用 Sysinternals Sysmon 从响应转向搜寻
https://onedrive.live.com/view.aspx?resid=D026B4699190F1E6!2843&ithint=file%2cpptx&app=PowerPoint&authkey=!AMvCRTKB_V1J5ow
审计文件系统全局对象访问
此策略设置允许您将综合对象访问审核策略应用于计算机文件系统上的每个文件和文件夹。配置此设置还允许您证明计算机上的每个文件和文件夹都受到从中央位置管理的审核策略的监控。
此设置将全局系统访问控制列表 (SACL) 应用于每个文件和文件夹。如果在计算机上同时配置了文件或文件夹 SACL 和全局 SACL,则有效 SACL 是通过组合文件或文件夹 SACL 和全局 SACL 得出的。这意味着当活动与文件或文件夹 SACL 或全局 SACL 匹配时,就会生成审核事件。
要配置全局对象访问策略,您必须选择“定义此策略设置”,然后单击“配置”以将至少一个用户或组添加到全局 SACL。您还必须启用“高级审核策略配置\系统审核策略\对象访问”下的“审核文件系统”设置。
数量:取决于有效的 SACL 和用户活动级别。