Por que você precisa de uma política de auditoria?

Os incidentes de segurança estão aumentando, tornando crucial que as organizações tomem as medidas certas para se fortalecer. Uma política de auditoria eficaz do Windows garante que os eventos apropriados sejam registrados em todas as atividades relacionadas à segurança em sua rede. Um exame cuidadoso desses eventos pode ajudá-lo a detectar uma violação assim que ela ocorrer, limitando seus danos. Os dados de auditoria também servem como evidência para análise forense após qualquer incidente, e o arquivamento garante que sua organização cumpra os mandatos regulatórios. Aqui estão sete recomendações de política de auditoria para ajudar a atender seus requisitos de segurança e conformidade.

As 7 melhores práticas de registro de auditoria

 

Defina políticas de auditoria em estações de trabalho

Qualquer estratégia de gerenciamento de log de segurança deve incluir o monitoramento da estação de trabalho. Embora os servidores e controladores de domínio sejam monitorados estritamente, é fundamental que as estações sejam monitoradas, pois geralmente são o primeiro ponto de uma violação. Habilitar políticas de auditoria pode ajudar a identificar falhas de segurança antes que você sofra muitos danos.

 

Identifique eventos críticos

Configurar a política de auditoria para auditar todas as atividades em sua rede pode inundar rapidamente seus logs de segurança com informações irrelevantes. Isso torna a identificação de eventos críticos difícil para os administradores. Portanto, certifique-se de que os eventos mais críticos que apontam claramente para atividades não autorizadas e não representam falsos positivos sejam priorizados para registro..

 

Configure políticas de auditoria avançadas

O Windows oferece uma escolha binária entre as nove categorias de política de auditoria e as subcategorias de política de auditoria avançada. As subcategorias são preferíveis, pois permitem limitar o número de eventos da categoria relacionada, reduzindo o ruído. Portanto, configure as subcategorias para um controle mais granular sobre quais eventos são auditados.

Nota: Para evitar que as configurações tradicionais da categoria de auditoria substituam as subcategorias, ative as configurações Forçar a subcategoria da política de auditoria (Windows Vista ou posterior) para substituir a opção de segurança das configurações localizada em Configuração do Computador> Configurações do Windows> Configurações de Segurança> Políticas Locais> Opções de Segurança.

 

Configure SACLs para habilitar um auditoria em nível de objeto

A auditoria em nível de objeto permite monitorar alterações em seus objetos, arquivos e pastas do Active Directory (AD). Habilite a auditoria em objetos de diretório configurando as Listas de Controle de Acesso ao Sistema (SACLs), além da auditoria e políticas de auditoria avançadas. Isso garante que os eventos sejam registrados sempre que ocorrer qualquer objeto AD ou atividade relacionada a arquivo.

 

Escolha se deseja auditar sucessos, falhas ou ambos

Nem todas as atividades garantem auditoria de sucesso e falha. Por exemplo, para a configuração de auditoria de compartilhamento de arquivos, você deve auditar eventos de sucesso e falha para rastrear todas as tentativas de criação, exclusão, modificação e acesso aos compartilhamentos de rede. No entanto, para a configuração de Arquivos Detalhados, você pode habilitar apenas a auditoria de falha para identificar tentativas de acesso não autorizado, pois os eventos de sucesso para essa configuração levarão a um alto volume de eventos benignos. É por isso que você deve avaliar cuidadosamente os prós e contras de registrar eventos de sucesso e / ou falha para cada subcategoria ao configurar sua política de auditoria.

 

Distribua espaço de armazenamento suficiente

Os dados de auditoria coletados precisam ser armazenados e retidos por um período específico para cumprir os regulamentos. Com base em sua política de auditoria, os dados de auditoria podem preencher rapidamente seu espaço em disco. Portanto, defina o tamanho do log de eventos e as configurações de retenção para evitar sobregravações e aloque espaço suficiente para arquivar os dados de auditoria após a retenção.

 

Teste sua política de auditoria antes de implementá-la

Mudanças em sua política de auditoria podem afetar o desempenho de seus computadores. Depois de modificar as configurações de auditoria, use o Assistente de Resultados de Política de Grupo para ver a lista de configurações de política de auditoria que serão aplicadas. Refine as configurações conforme necessário antes de implementá-las em seu ambiente AD.

Auditoria AD facilitada com
ADAudit Plus

O uso de ferramentas nativas para interpretar e analisar as informações contidas nos logs de auditoria pode retardar sua resposta forense a uma violação de segurança. ManageEngine ADAudit Plus é um auditor de mudança orientado por UBA (User Behavior Analytics) que ajuda a manter seu ecossistema do Windows Server seguro e em conformidade, fornecendo visibilidade total de todas as atividades.

Baixe um teste grátis de 30 dias

 

Confira as empresas que confiam no ADAudit Plus