Por que você precisa de uma política de auditoria?

Os incidentes de segurança estão aumentando, tornando fundamental que as organizações tomem as medidas certas para se fortalecerem. Uma política de auditoria eficaz do Windows garante que os eventos apropriados sejam registrados para cada atividade relacionada à segurança na sua rede. Examinar esses eventos cuidadosamente pode ajudá-lo a detectar uma violação assim que ela ocorra, limitando seus danos. Os dados de auditoria também servem como provas para análise forense após qualquer incidente, e arquivá-los garante que sua organização cumpra os mandatos regulatórios. Aqui estão sete recomendações de políticas de auditoria para ajudar a cumprir seus requisitos de segurança e conformidade.

7 melhores práticas de logs de auditoria

Definir políticas de auditoria nas estações de trabalho

Qualquer estratégia de gerenciamento de logs de segurança deve incluir o monitoramento de estações de trabalho. Embora os servidores e controladores de domínio sejam monitorados rigorosamente, é fundamental que as estações de trabalho também sejam monitoradas, pois elas geralmente são o primeiro ponto de violação. Ativar políticas de auditoria em todas as suas estações de trabalho pode ajudar a identificar falhas de segurança antes que você sofra danos excessivos.

Identificar eventos críticos

Configurar a política de auditoria para auditar todas as atividades da sua rede pode sobrecarregar seus logs de segurança com informações irrelevantes rapidamente. Isso dificulta a identificação de eventos críticos para os administradores. Portanto, garanta que os eventos mais importantes que apontem claramente para atividades não autorizadas e não representem falsos positivos sejam priorizados para fins de manutenção de logs.

Configurar políticas de auditoria avançadas

O Windows oferece uma escolha binária entre as nove categorias de políticas de auditoria e subcategorias de políticas de auditoria avançadas. As subcategorias são preferíveis, pois permitem limitar o número de eventos da categoria relacionada, reduzindo o ruído. Portanto, configure as subcategorias para obter um controle mais granular sobre quais eventos serão auditados.

Observação: To prevent the traditional audit category settings from overriding the subcategories, enable the Force audit policy subcategory settings (Windows Vista or later) to override the audit policy category settings security option located under Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options.

Configurar SACLs para permitir a auditoria no nível do objeto

A auditoria no nível do objeto permite monitorar mudanças em objetos, arquivos e pastas do Active Directory (AD). Habilite a auditoria em objetos do diretório configurando as SACLs (listas de controle de acesso do sistema), além da auditoria e políticas de auditoria avançadas. Isso garante que os eventos sejam registrados sempre que qualquer objeto do AD ou atividade relacionada ao arquivo ocorrer.

Selecione se deseja auditar sucessos, falhas ou ambos

Nem todas as atividades garantem a auditoria de sucessos e falhas. Por exemplo, para a configuração Auditar compartilhamento de arquivos, você precisa auditar eventos de sucesso e falha para rastrear todas as tentativas de criação, exclusão, modificação e acesso a compartilhamentos de rede. No entanto, para a configuração Auditar compartilhamento detalhado de arquivos, você pode habilitar apenas a auditoria de falhas para identificar tentativas de acesso não autorizado, pois a auditoria de eventos bem-sucedidos para essa configuração levará a um grande volume de eventos benignos. Por isso, você deve avaliar os prós e contras de registrar eventos de sucesso e/ou falha para cada subcategoria cuidadosamente ao configurar sua política de auditoria.

Alocar espaço de armazenamento suficiente

Os dados de auditoria coletados precisam ser armazenados e retidos por um período específico para cumprir os regulamentos. Com base na sua política de auditoria, os dados de auditoria podem ocupar o espaço em disco rapidamente. Dessa forma, defina o tamanho do log de eventos e as configurações de retenção para evitar substituições e aloque espaço suficiente para arquivar os dados de auditoria após a retenção.

Testar sua política de auditoria antes de implementá-la

As mudanças na sua política de auditoria podem afetar o desempenho dos seus computadores. Após modificar as configurações de auditoria, utilize o Assistente de Resultados de Políticas do Grupo para ver a lista de configurações de políticas de auditoria que serão aplicadas. Refine as configurações conforme necessário antes de implementá-las no seu ambiente do AD.

Simplifique a auditoria do AD 
com o ADAudit Plus

Usar ferramentas nativas para analisar o enorme volume de logs de auditoria gerados diariamente pode ser uma tarefa cansativa para qualquer equipe de segurança. O ADAudit Plus da ManageEngine é uma ferramenta de auditoria de mudanças orientada por UBA que oferece visibilidade completa do seu ambiente do AD. O ADAudit Plus fornece relatórios completos de auditoria de mudanças para ajudar a garantir que seu AD, Windows servers, servidores de arquivos e estações de trabalho estejam seguros e anuentes.

Baixe o teste grátis de 30 dias

Empresas que confiam no ADAudit Plus

Atenda a todas as necessidades de auditoria e segurança de TI
com o ADAudit Plus.