資格情報検証の監査
資格情報検証の監査
資格情報検証の監査は、ユーザーアカウントのログオン要求に対して送信された資格情報に関して、オペレーティングシステムが監査イベントを生成するかどうかを決定します。
これらのイベントは、資格情報に対して権威のあるコンピューターで発生します。具体的には次の通りです:
ドメインアカウントの場合、ドメインコントローラーが権威を持ちます。
ローカルアカウントの場合、ローカルコンピューターが権威を持ちます。
イベントのボリューム:
ドメインコントローラーでは高い。
メンバーサーバーおよびワークステーションでは低い。
エンタープライズ環境では、ローカルアカウントよりもドメインアカウントがはるかに頻繁に使用されるため、ドメイン環境でのアカウントログオンイベントのほとんどは、ドメインアカウントに対して権威のあるドメインコントローラーで発生します。しかし、これらのイベントは任意のコンピューターで発生する可能性があり、ログオンおよびログオフイベントと連携して、または別々のコンピューターで発生することがあります。
この監査サブカテゴリを有効にする主な理由は、ローカルアカウントの認証試行を処理し、ドメインアカウントの場合はドメイン内のNTLM認証を処理するためです。特に、ブルートフォース攻撃、アカウントの列挙、およびドメインコントローラーでの潜在的なアカウント侵害イベントを見つけるために、失敗した試行を監視するのに役立ちます。
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強化された成功 | 強化された失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | IF | Yes | Yes | Yes | ドメインコントローラーのイベントの予想ボリュームは高いです。このサブカテゴリは、任意のドメインアカウントおよびNTLM認証を使用して認証試行が行われたときにイベントを生成します。IF – NTLMプロトコルを使用したドメインアカウント認証イベントを追跡するために、成功監査を推奨します。大量のイベントが予想されます。収集した情報の使用および分析の推奨事項については、セキュリティ監視の推奨事項セクションを参照してください。このサブカテゴリの成功監査イベントを将来のセキュリティインシデントのために収集するだけではあまり役に立ちません。このサブカテゴリのイベントは常に情報を提供するわけではないからです。失敗監査を推奨します。ドメインアカウントおよびNTLM認証プロトコルを使用した失敗した認証試行に関する情報を収集するためです。 |
| メンバーサーバー | Yes | Yes | Yes | Yes | メンバーサーバーのイベントの予想ボリュームは低いです。このサブカテゴリは、ローカルアカウントを使用して認証試行が行われたときにイベントを生成しますが、これはあまり頻繁には発生しないはずです。成功監査を推奨します。ローカルアカウントによる認証イベントを追跡するためです。失敗監査を推奨します。ローカルアカウントによる失敗した認証試行に関する情報を収集するためです。 |
| ワークステーション | Yes | Yes | Yes | Yes | ワークステーションのイベントの予想ボリュームは低いです。このサブカテゴリは、ローカルアカウントを使用して認証試行が行われたときにイベントを生成しますが、これはあまり頻繁には発生しないはずです。成功監査を推奨します。ローカルアカウントによる認証イベントを追跡するためです。失敗監査を推奨します。ローカルアカウントによる失敗した認証試行に関する情報を収集するためです。 |
イベントリスト: