m365jp.net

SHD / MC Checker

MC680761 | New security capabilities of Event Tracing for Windows

MC680761 | New security capabilities of Event Tracing for Windows
Classification stayInformed
Last Updated 10/11/2023 16:58:30
Start Time 10/11/2023 16:58:29
End Time 10/11/2024 16:58:29
Message Content
Whether you’re in cybersecurity, IT, performance, or software development, improved resources can help you diagnose cybersecurity threats. While you could previously use Event Tracing for Windows for limited audit functions, nine events have recently been improved for better insight. Specifically, several security-related events now show Process ID and Process Start Key in the event schema, allowing you to confirm the causal process of these events. We’ve also increased the event version as events are updated over time, following the application compatibility policy.  
 
When will this happen: 
These improvements are already available on all Windows versions. 
 
How this will affect your organization: 
Organizations can better leverage Windows Event Viewer for security diagnostics and auditing. Before now, Event Tracing for Windows logs listed some events and processes affecting a device with a generic message of “The system/kernel logged this event.” As such, some events might have appeared as if they were caused by a different action. Today, the initiating process is added to the payload part of the following events in form of Process ID and Process Start Key: 
 
  • 4697: A service was installed in the system. 
  • 4698: A scheduled task was created. 
  • 4699: A scheduled task was deleted. 
  • 4700: A scheduled task was enabled. 
  • 4701: A scheduled task was disabled. 
  • 4702: A scheduled task was updated. 
  • 4719: System audit policy was changed. 
  • 1102: Security audit log was cleared. Displayed in the Security channel. 
  • 104: The {channel name} log file was cleared. Displayed in the System channel. 
 
These are considered security-related events because attack tools often clear the event log and disable auditing. 
 
What you need to do to prepare: 
Read New security capabilities of Event Tracing for Windows for step-by-step instructions, screenshots, and examples of these improvements. Review additional information for further help. 
Additional information: 
Machine Translation
サイバーセキュリティ、IT、パフォーマンス、ソフトウェア開発のいずれであっても、リソースの改善はサイバーセキュリティの脅威の診断に役立ちます。以前は、Windows イベント トレーシングを使用して監査機能を制限できましたが、最近、9 つのイベントが改善され、分析情報が向上しました。具体的には、いくつかのセキュリティ関連イベントで、イベント スキーマにプロセス ID とプロセス開始キーが表示されるようになり、これらのイベントの原因プロセスを確認できるようになりました。また、アプリケーションの互換性ポリシーに従って、イベントが時間の経過と共に更新されるため、イベント バージョンも増加しました。  
 
これはいつ起こりますか: 
これらの機能強化は、すべての Windows バージョンで既に利用可能です。 
 
これが組織に与える影響: 
組織は、セキュリティ診断と監査のために Windows イベント ビューアーをより有効に活用できます。これまで、Windows イベント トレーシングのログには、デバイスに影響を与えるいくつかのイベントとプロセスが、”システム/カーネルがこのイベントをログに記録しました” という一般的なメッセージと共に一覧表示されていました。そのため、一部のイベントは、別のアクションによって引き起こされたかのように表示される場合があります。現在、開始プロセスは、プロセス ID とプロセス開始キーの形式で次のイベントのペイロード部分に追加されます。 
 
  • 4697: サービスがシステムにインストールされました. 
  • 4698: スケジュールされたタスクが作成されました. 
  • 4699: スケジュールされたタスクが削除されました. 
  • 4700: スケジュールされたタスクが有効になりました. 
  • 4701: スケジュールされたタスクが無効になりました. 
  • 4702: スケジュールされたタスクが更新されました. 
  • 4719: システム監査ポリシーが変更されました. 
  • 1102: セキュリティ監査ログがクリアされました。[セキュリティ] チャネルに表示されます。 
  • 104: {チャネル名} ログ ファイルがクリアされました。システム チャネルに表示されます。 
 
攻撃ツールはイベント ログをクリアして監査を無効にすることが多いため、これらはセキュリティ関連のイベントと見なされます。 
 
準備するために必要なこと: 
これらの機能強化の詳細な手順、スクリーンショット、および例については、「 Windows 用イベント トレーシングの新しいセキュリティ機能 」を参照してください。詳細については、追加情報を確認してください。 
追加情報: 
Post Views: 78

m365jp.net