過濾 OMS Security 收集的安全性事件
OMS Security 會從 Windows Security、App Locker、和防火牆事件記錄收集所有事件。因為 OMS 是一個巨大的數據服務,所以它能夠處理很大量的數據,而客戶也不需要小心的過濾他們的事件來決定要儲存哪些。但是在一些特別的情況下客戶仍然需要減少被收集事件的體積。
現在 OMS 提供一個新的功能,能夠藉由選擇事件集過濾收集的事件。我們想要平衡對於降低事件體積的需求與保持足夠的資訊量來投資、稽核、和偵測威脅。我們也希望能夠建立簡單的機制來讓客戶選擇正確的過濾政策而無需維護無止盡的事件ID列表。
有了這個新的功能,OMS Security 允許選擇四種事件集並由 agent 收集事件記錄。包含:
- 所有事件:針對想要確保所有事件都被收集的客戶。這是一直以來 OMS 的預設方式。
- 一般:這是一個能夠滿足多數客戶的事件集,並且能夠完整的審計與追蹤。
- 最小:一個較小的集合,提供給希望能減少事件體積的客戶。
- 無:禁止 Security 和 App Locker 收集安全性記錄。選擇此集合的客戶,在安全性儀表板中將只會看到 Windows 防火牆記錄和像是反惡意軟件、基準、和更新等的主動評估。
這四種的宗旨是來解決典型的情況,確保在實施前評估哪一種符合您的要求。
要選擇任一種集合,先在 安全性與稽核 中點選 設定:
為了決定事件是屬於哪個集合,微軟與數十個客戶、行業合作,並處理了他們提供對於每個事件未過濾的頻率和用量的統計資料。其中是利用以下指南來處理資料:
- 確保最小的集合只涵蓋可能表示成功違約的事件和擁有非常小體積的重要事件。例如,此集合包含使用者成功和失敗的登錄(事件ID 4624, 4655),但不包含登出,因為登出對於審計是重要的但對於檢測沒有意義,且具有很大的體積。此集合大部分的記錄體積都在登錄事件和程序建立事件(事件ID 4688)。
- 在一般集合中提供完整的審計追蹤。例如:此集合同時包含了使用者的登錄和登出(事件ID 4634)。我們還包含一般集合的審核操作,像是安全性群組更改、key domain 控制器、Kerberos 操作、和其他由行業組織推薦的事件。
- 具有非常低體積的事件被包含在一般集合中,並在所有事件中選擇其作為主要動機以減小體積並且不過濾掉特定事件。
以下是不同集合 Security 和 App Locker 事件ID的完整細目:
除了提供過濾選項外,微軟也致力於增進事件記錄的解析和索引功能。對於頻繁的事件,能夠確保所有屬性都被提取和索引。為了減少這些事件的體積而刪除了包含未解析的 XML 的 EventData 屬性。