cmdline_audit
Last-modified: 2023-02-14 (火) 16:21:24
Top/cmdline_audit
・コマンドラインインターフェースの悪用
・ファイル削除
・ファイルとディレクトリの探索
・ローカルシステムからのデータ収集
設定方法 †
Default Domain Policy、Default Domain Controllers Policy それぞれで、以下のグループポリシーを設定します。
- 監査ポリシー カテゴリの設定を上書きする
- [コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティ設定]>[ローカルポリシー]>[セキュリティオプション]>[監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする] の [このポリシーの設定を定義する] をチェックし、[有効] をクリックします。
- 監査プロセス作成の監査
- [コンピューターの構成]>[ポリシー]>[Windows の設定]>[セキュリティ設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[詳細追跡]>[プロセス作成の監査]の [成功]、[失敗] を構成します。
- プロセス作成の監査にコマンドラインを含める
- [コンピューターの構成] >> [管理用テンプレート] >> [システム] >> [プロセス作成の監査] >> [プロセス作成イベントにコマンドラインを含める]のポリシー値を [有効] に設定します。
監査方法 †
イベントビューワーもしくは Message Analyzer で Event ID 4688 等を検索します。
JPCERT/CCの 「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」 を参考にしてください。
参考 †
コマンド ライン プロセスの監査: https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing