http://eventlog.whitefox.jp/?eid=7
ファイルアクセスの監査 ファイルアクセスの監査について説明します。 ファイルアクセス関連のイベントログは、以下の順に発生します。
1) ログオン 2) ファイルオープン 3) ファイルアクセス 4) ファイルクローズ 5) ログオフ
ログオン/ログオフについては 前回(ログオン/ログオフ)の記事 で説明したので、そちらを参照して下さい。 ファイルアクセス関係のイベントログは、イベントログ・セキュリティに登録されます。 イベントIDとイベントの意味、イベントの説明に含まれる情報は以下の通りです。
イベントID 意味 説明に含まれる情報 560 ファイルオープン 種類、ファイル名、ハンドルID、プロセスID、ユーザー名、ドメイン名、操作内容 567 ファイルアクセス ハンドルID、種類、プロセスID、操作内容 564 ファイル削除 ハンドルID、プロセスID 562 ファイルクローズ ハンドルID、プロセスID
ファイルアクセスの監査を行う場合、イベントID 567(ファイルアクセス)、564(ファイル削除)からスタートします。 イベントID 567(ファイルアクセス)には ハンドルID、プロセスID、操作内容が記録されます。 ハンドルID、プロセスIDが一致するイベントID 560(ファイルオープン)を探し、ファイル名、ユーザー名、ドメイン名を対応づけします。 また、イベントID 560(ファイルオープン)とログオンIDが一致する イベントID 540,528(ログオン)を探し、ログオン時間を対応づけします。 対応づけが完了したら、どのファイルに、いつ、どのユーザーが、どのようなアクセスをしたかがわかります。
操作内容には 以下の値がはいります。
値 説明 DELETE オブジェクトの削除 READ_CONTROL オブジェクトのセキュリティ情報の読取り WRITE_DAC オブジェクトのアクセス権の変更 WRITE_OWNER オブジェクトの所有者の変更 SYNCHRONIZE オブジェクトを使った同期処理 ReadData(または ListDirectory) フォルダ・ファイルの読取り WriteData(または
AddFile?) フォルダへのファイル操作、ファイルへの書込み
AppendData(または AddSubDirectory または
CreatePipeInstance?) データの追加、フォルダの作成
ReadEA 拡張属性の読取り WriteEA 拡張属性の書込み
実行/スキャン フォルダのスキャン、ファイルの実行
DeleteChild フォルダとフォルダ内のファイル削除 ReadAttributes 属性の読取り WriteAttributes 属性の書込み
イベントID 564(ファイル削除)には ハンドルID、プロセスIDが記録されます。操作内容は イベントIDがファイル削除をあらわすので、説明欄には記録されません。 イベントID 567(ファイルアクセス)と同様に、イベントID 560(ファイルオープン)、イベントID 540,528(ログオン)を探し、対応づけします。
Windows Vista,Windows 7,Windows Server 2008 ファイル監査 Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。
イベントID 意味 4656 ファイルオープン 4663 ファイルアクセス 4690 ファイルコピー 4660 ファイル削除 4658 ファイルクローズ
分析、監査作業の省力化には・・・ ファイルアクセスの監査は 上記の通りなのですが、実際の運用で手作業でオープン/アクセスの対応をとるのは困難です。 また、ファイルアクセスの失敗などのイベントをフィルタリングして セキュリティ侵害の可能性を検知することも 手作業では困難です。
そんな システム管理者、セキュリティ管理者のために!? 弊社では「イベントログ分析ツール WhiteFox? EventLog? Analyzer」というツールを販売しています。 イベントログ分析ツールは、イベントログ(CSV,EVT,直接)を定期的に読み込み、分析するツールです。