:

Windows イベントログの保持

Tenable Identity Exposure は、攻撃インジケーター機能内のセキュリティ分析をサポートするために、できるだけ多くの Windows イベントログを処理するよう努めています。しかし、サービスを実行しているマシンで利用可能なメモリなどの技術的な制限があります。

デフォルトのグローバル保持期間は 5 分です。ただし、特定の Windows イベントログでは、セキュリティエンジンで発生する可能性のある相関の問題を緩和するために、保持期間が延長されています。

SYSMON 5722 および 5723: 6 時間保持。
Microsoft-Windows-Security-Auditing/4624: このログは検出と相関の両方の攻撃インジケーターで頻繁に使用されるため、ログの保持期間は動的です。システムは、メモリ使用量に基づいて保持期間を調整し、イベント処理とシステムリソースのバランスを取ります。
- 最初の 1 時間: セキュリティ分析サービスは、デフォルトの保持期間の 5 分を適用します。
- 最初の 1 時間が経過した後、システムは残存しているメモリを評価し、次のように保持期間を調整します。
  - 使用可能なメモリが 50% を超える場合: 1 日。
  - 使用可能なメモリが 35%～50% の場合: 6 時間。
  - 使用可能なメモリが 20%～35% の場合: 1 時間。
  - 使用可能なメモリが 10%～20% の場合: 10 分。
  - 使用可能なメモリが 10% 未満 の場合: デフォルトの 5 分。

この動的なアプローチにより、システムはセキュリティ分析に十分なメモリを確保しつつ、受信イベントを効率的に管理できます。

Copyright © 2024 Tenable, Inc.All rights reserved.Tenable、Tenable Nessus、Tenable Lumin、Assure、および Tenable のロゴは、Tenable, Inc.またはその関連会社の登録商標です。その他の各製品またはサービスは、それぞれの所有者の商標です。