認証は、最も一般的なネットワーク イベントの一つですが、これらのイベントが正規のものかどうか判断するのは容易なことではありません。Microsoft のイベント ロギングは認証イベントを追跡しています。これらのログは、認証アクティビティを相関分析する際に非常に役立ちます。認証の成功と失敗を常に監視することで、特定のユーザー名、ホスト、ドメインに関する傾向を把握することができます。これにより、認証情報の窃盗、悪意のある内部ユーザー、詳しい調査が必要なアクティビティなど、潜在的な問題を見分けることができます。
コンテンツ パックのコンポーネント
ビュー
ネットワーク上の Windows デバイスから収集した様々な認証イベントを確認できます。
- 成功した Windows ログオンの詳細
- 成功した Windows ログオンの概要
- 管理者ログイン (相関分析)
- ビルトイン アカウントによる管理者ログオン (相関分析)
- サービス アカウントによる管理者ログオン (相関分析)
- 成功した管理者ログオンの概要 (相関分析)
- 管理者ログオン (正規化)
- ビルトイン アカウントによる管理者ログオン (正規化)
- サービス アカウントによる管理者ログオン (正規化)
- 成功した管理者ログオンの概要 (正規化)
- Windows アカウントの作成
相関分析ルール
特定のタイプの Windows 認証イベントで開始します。
- Vista から 2008 以降での管理者アカウントによるログオン
- 2000 から2003、XP での管理者アカウントによるログオン
- Vista から 2008 以降での会社以外の場所からの管理者ログオン
- 2000、2003、XP での会社以外の場所からの管理者ログオン
- Vista から 2008 以降での不審な場所からの管理者ログオン
- 2000、2003、XP での不審な場所からの管理者ログオン
- 制限付きドメイン アカウントのログオン失敗
- 無効なパスワードによるドメイン ユーザーのログオン失敗
- 複数回失敗した後のドメイン ユーザーのログオン
- 制限付きホストでのドメイン ログオンの失敗
- 無効なドメイン ユーザー名によるログオンの失敗
- ドメイン アカウントの作成
必要な製品
- McAfee Enterprise Security Manager (ESM) 11.x, 10.x
- McAfee Advanced Correlation Engine (ACE) 11.x, 10.x
- ネットワーク環境内の Windows デバイスからイベントを受信できるように、Windows データ ソースを設定する必要があります。
コンテンツ パックのダウンロード
ServicePortal にご登録の方は、ナレッジセンターにログインすると、詳しいドキュメントを入手できます。また、コンテンツ パック ファイルをダウンロードできます。
記事を読む