Windows Ereignisanzeige für Audits und Security Monitoring per PowerShell-Tool konfigurieren

[English]Wie konfiguriert man die Ereignisanzeige unter Windows dergestalt, dass diese für Audits und Security Monitoring genutzt werden kann. Jemand hat für diesen Zweck ein PowerShell-Tool geschrieben.

Ich bin über den nachfolgenden Tweet des Sicherheitsforschers Nicolas Krassas auf diesen Ansatz gestoßen.

Audix – A PowerShell Tool To Quickly Configure The Windows Event Audit Policies For Security Monitoring https://t.co/Edsny9xkZf

— Nicolas Krassas (@Dinosn) April 12, 2020

Die Audit-Richtlinien von Windows sind standardmäßig eingeschränkt. Das bedeutet, dass für Incident Responders, Blue Teamers, CISO's & Personen, die ihre Umgebung mit Hilfe von Windows-Ereignisprotokollen überwachen möchten, die Audit-Richtlinien-Einstellungen konfigurieren müssen, um eine erweiterte Protokollierung zu ermöglichen.

Das PowerShell Tool Audix zielt darauf ab, die aktuelle Audit-Richtlinieneinstellung zu erfassen, ein Backup davon durchzuführen (für den Fall, dass eine Wiederherstellung des vorherigen Zustands erforderlich ist) und eine erweiterte Audit-Richtlinieneinstellung anzuwenden, um ein besseres Security Monitoring mit verbesserter Erkennungsfähigkeit zu ermöglichen.

Darüber hinaus wird es Audit-Richtlinien-Unterkategorien durchsetzen, um sicherzustellen, dass diese fortschrittlichen Einstellungen bestehen bleiben. Es gibt auch eine Einstellung zur Anpassung der Begrenzung der Protokollgröße. Das Ganze steht kostenfrei auf GitHub bereit. Vielleicht ist die Information für jemanden von Euch hilfreich.

Ergänzung: Jörn Walter hat die Richtlinien aus Audix an ein deutsches Windows angepasst. Die Details findet ihr in seinem Blog-Beitrag hier. Danke an Jörn für die Ergänzung.