Aufbewahrung von Windows-Ereignisprotokollen

Tenable Identity Exposure versucht zwar, so viele Windows-Ereignisprotokolle wie möglich zu verarbeiten, um die Sicherheitsanalyse innerhalb der Indicator of Attack-Funktion zu unterstützen, es gibt jedoch technische Einschränkungen, wie z. B. den verfügbaren Arbeitsspeicher auf dem Computer, auf dem die Dienste ausgeführt werden.

Der globale Standard-Aufbewahrungszeitraum beträgt 5 Minuten. Für bestimmte Windows-Ereignisprotokolle gelten jedoch längere Aufbewahrungszeiträume, um Korrelationsprobleme zu mindern, auf in der Security Engine auftreten können:

• SYSMON 5722 und 5723: Werden 6 Stunden lang aufbewahrt.

• Microsoft-Windows-Security-Auditing/4624: Der Aufbewahrungszeitraum für dieses Protokoll ist dynamisch, da es in Indicators of Attack intensiv zur Erkennung und Korrelation genutzt wird. Das System passt die Aufbewahrung basierend auf der Arbeitsspeichernutzung an, um ein Gleichgewicht zwischen Ereignisverarbeitung und Systemressourcen zu erreichen:

  • Erste Stunde: Der Sicherheitsanalysedienst wendet den Standard-Aufbewahrungszeitraum von 5 Minuten an.

  • Nach der ersten Stunde wertet das System den verbleibenden Arbeitsspeicher aus und passt den Aufbewahrungszeitraum wie folgt an:

    • Wenn der verfügbare Arbeitsspeicher über 50 % liegt: 1 Tag.

    • Wenn der verfügbare Arbeitsspeicher zwischen 35 und 50 % liegt: 6 Stunden.

    • Wenn der verfügbare Arbeitsspeicher zwischen 20 % und 35 % liegt: 1 Stunde.

    • Wenn der verfügbare Arbeitsspeicher zwischen 10 % und 20 % liegt: 10 Minuten.

    • Wenn der verfügbare Arbeitsspeicher unter 10 % liegt: Der Standardzeitraum von 5 Minuten.

Dieser dynamische Ansatz stellt sicher, dass das System eingehende Ereignisse effizient verwalten kann und gleichzeitig genügend Arbeitsspeicher für die Sicherheitsanalyse vorhält.