セキュリティの監視および攻撃検出計画ガイド
付録 A - 除外する不要なイベント
最終更新日: 2006年2月1日
ダウンロード
次の表に示すイベントは、発生頻度が多いにもかかわらず有益な情報を提供しないので、通常はセキュリティの監視のクエリから除外します。
注 : 監査からすべての情報を除外することにはややリスクがありますが、イベントの発生頻度と結果として分析エージェントにかかる負荷に照らして、このリスクを評価する必要があります。
表 A.1: イベントの削除による保管場所にかかる負荷の軽減
イベント ID | 発生事象 | コメント |
---|---|---|
538 | ユーザーがログオフしました。 | このイベントは、必ずしもユーザーがコンピュータの使用を停止したタイミングを示すわけではありません。たとえば、ユーザーがログオフしないでコンピュータの電源をオフにする場合や共有へのネットワーク接続が切断された場合は、コンピュータはログオフをまったく記録しないか、切断されたことをコンピュータが認識したときのみログオフを記録します。 |
551 | ユーザーがログオフ処理を行いました。 | 代わりにイベント 538 を使用して、ログオフを確認します。 |
562 | オブジェクトへのハンドルが閉じられました。 | 常に成功が記録されます。 |
571 | 承認マネージャによりクライアント コンテキストが削除されました。 | 承認マネージャを使用している場合は正常です。 |
573 | プロセスによって、AuthZ API (Authorization Application Programming Interface) を使用した、システム以外の監査イベントが生成されました。 | 通常の動作です。 |
577 578 | 特権によるサービスの呼び出し、特権によるオブジェクト操作を実行しました。 | 通常、これらの大量のイベントには、何が発生したかを理解するための情報、またはイベントに応じて操作するための情報が十分に含まれていません。 |
594 | オブジェクトへのハンドルが複製されました。 | 通常の動作です。 |
595 | オブジェクトへの間接アクセスが取得されました。 | 通常の動作です。 |
596 | データ保護マスタ キーがバックアップされました。 | 既定の設定では、90 日ごとに自動で発生します。 |
597 | データ保護マスタ キーが回復されました。 | 通常の動作です。 |
624 642 | [ユーザー] が "System" のイベント 624 が発生し、その後 [対象アカウント名] が "IUSR_machinename" または "IWAM_machinename" で、[呼び出し側ユーザー名] が "machinename$" のイベント 642 が発生しました。 | このイベント シーケンスは、管理者がコンピュータに IIS をインストールしたことを示しています。 |
624 630 642 | [ユーザー] が "System"、3 つのイベントがすべて同じタイム スタンプ、[新しいアカウント名] または [対象アカウント名] が "HelpAssistant"、[呼び出し側ユーザー名] が "DCname$" のイベントが発生しました。 | このイベント シーケンスは、管理者が Windows Server 2003 を実行するコンピュータに Active Directory をインストールすると生成されます。 |
624 または 642 | [ユーザー] が "ExchangeServername$" で、[対象アカウント名] がグローバル一意識別子 (GUID) のイベントが発生しました。 | このイベントは、Exchange Server が最初にオンラインになり、自動的にシステム メールボックスを生成するときに発生します。 |
624 | [呼び出し側ユーザー名] が任意のユーザーで、[新しいアカウント名] が "machinename$" のイベントが発生しました。 | ドメインのユーザーが、ドメインで新しいコンピュータを作成または接続しました。このイベントは、ユーザーにコンピュータをドメインに参加させる権利がある場合は問題ありません。権利がない場合は、このイベントを調査する必要があります。 |
627 | [ユーザー] が "System"、[対象アカウント名] が "TsInternetUser"、[呼び出し側ユーザー名] が通常は "DCname$" のイベントが発生しました。 | これらのイベントは、ターミナル サービスを実行するコンピュータの通常の動作によって発生します。 |
672 | Kerberos AS チケットが要求されました。 | すべてのコンピュータからログオン イベント 528 と 540 を収集する場合、イベント 672 に有益な追加情報は含まれず、Kerberos TGT が許可されたことが記録されるだけです。依然として、行われるすべてのアクセスにサービス チケットが許可される (イベント 673) 必要があります。 |
680 | アカウント ログオン | すべてのコンピュータからログオン イベント 528 と 540 を収集している場合、イベント 680 はアカウント資格情報の検証を記録するだけなので、イベント 680 には有益な追加情報は含まれません。個別のログオン イベントで、ユーザーが行ったアクセスが記録されます。 |
697 | パスワード ポリシーが API 呼び出しを確認しました。 | 通常の動作です。 |
768 | フォレスト名前空間が競合しています。 | セキュリティには関連しません。 |
769 770 771 | 信頼されたフォレストの情報が追加、削除、または変更されました。 | これらのイベントは、フォレスト間信頼の通常の操作です。信頼そのものの追加、削除、または変更とこれらのイベントを混同しないでください。 |
832 ~ 841 | Active Directory のレプリケーションに関するさまざまな問題があります。 | セキュリティへの影響はありません。 |