監査ポリシーの詳細設定の優先順位
必要なイベントログを有効にするために Tenable Identity Exposure が作成したグループポリシーオブジェクト (GPO) は、強制モードを有効にした組織単位 (OU) ドメインコントローラーにリンクされています。
これにより、GPO の優先度は高くなりますが、より高いレベル (ドメインやサイトなど) で設定された強制 GPO がそれより優先されます。
監査ポリシーの詳細設定の設定を定義する優先度の高い GPO が Tenable Identity Exposure のニーズと競合する場合、その GPO が優先され、Tenable Identity Exposureが攻撃検出に必要とするイベントは逸失してしまいます。
Windows は GPO によって定義された監査ポリシーの詳細設定をマージするため、異なる GPO では異なる設定が定義されている場合があります。
ただし、各設定レベルでは、優先度の高い GPO 定義の値のみが使用されます。たとえば、Tenable Identity Exposureには、認証情報の検証の監査の設定の成功値と失敗値が必要です。ただし、より高い優先度の GPO が認証情報の検証の監査の成功のみを定義する場合、Windows は成功イベントのみを収集し、Tenable Identity Exposureが必要とする失敗イベントは逸失してしまいます。
GPO の優先度をチェックするには、以下の手順を実行します。
-
コマンドラインインターフェースで、ドメインコントローラーに関する次のコマンドを実行します。
このコマンドは、すべての GPO と優先度を考慮した後、有効な監査ポリシーの詳細設定を出力します。
コピーauditpol.exe /get /category:* -
出力を Tenable Identity Exposure の詳細な監査ポリシー要件と比較します。Tenable Identity Exposure が必要とする設定ごとに、有効なポリシーもその設定をカバーしていることを確認してください。
-
Tenable Identity Exposure が「成功」または「失敗」を必要とし、設定が「成功および失敗」である場合など、有効なポリシーの範囲がより広い場合は問題ありません。
-
有効なポリシーが不十分な場合、より高い優先度を持つ GPO が競合する設定を定義することになります。
-
GPO の優先順位を修正するには
-
「強制」モードでより高いレベル (ドメインまたはサイト) にリンクされており、監査ポリシーの詳細設定を定義している GPO を探します。
-
コマンドラインインターフェースで、ドメインコントローラーに対して次のコマンドを実行し、優先する GPO をピンポイントで特定します。
コピーgpresult /scope:computer /h gpo.html
-
Tenable Identity Exposure の最小要件を満たすように、GPO の対応する監査ポリシーの詳細設定の設定を変更します。例
-
Tenable Identity Exposure が「成功」を必要とし、より高い優先度の GPO が「失敗」を定義する場合、設定を「成功および失敗」に変更します。
-
Tenable Identity Exposure が「成功および失敗」を必要とし、より高い優先度の GPO が「成功」を定義する場合、設定を「成功および失敗」に変更します。
-
-
設定を変更した後、更新済みの GPO が適用されるのを待つか、gpupdate コマンドで強制的に適用することができます。
-
「GPO の優先度をチェックするには、以下の手順を実行します。」の手順を繰り返して、新しい有効なポリシーをチェックします。