Auditing
In diesem Abschnitt werden folgende Themen behandelt:
Wissenswertes über Auditing
Die Auditing-Funktion von Application Control ermöglicht das Definieren von Regeln zum Erfassen von Auditing-Informationen und Auslösen von Ereignissen. Sie enthält einen Filter zum Angeben der Ereignisse, die in das Protokoll aufgenommen werden sollen. Auditing wird über das Menüband "Verwalten" aufgerufen.
Steuern des allgemeinen Auditing-Verhaltens
Anhand der folgenden Optionen lassen sich das allgemeine Auditing-Verhalten steuern und die auszulösenden Ereignisse auswählen:
- Ereignisse an das Anwendungsereignisprotokoll senden – Wählen Sie aus, ob Ereignisse an das Anwendungsereignisprotokoll gesendet werden sollen.
- Ereignisse an das AppSense-Ereignisprotokoll senden – Wählen Sie aus, ob Ereignisse an das AppSense-Ereignisprotokoll gesendet werden sollen. Ereignisse können nur an das Anwendungsereignisprotokoll oder an das AppSense-Ereignisprotokoll gesendet werden.
- Ereignisse anonymisieren – Geben Sie an, ob Ereignisse anonym sein sollen. Falls ja, werden Computername und Benutzername bei allen Ereignissen weggelassen. Bei der anonymisierten Protokollierung wird der Dateipfad auch nach Instanzen durchsucht, bei denen Verzeichnis und Benutzername übereinstimmen. Dabei wird der Verzeichnisname durch die Zeichenfolge ersetzt.
- Ereignisse an lokales Dateiprotokoll senden – Wählen Sie aus, ob Ereignisse an das lokale Dateiprotokoll gesendet werden sollen. Falls ja, werden Ereignisse an das im Textfeld angegebene, lokale Dateiprotokoll gesendet. Der Standardspeicherort lautet: %SYSTEMLAUFWERK%\AppSenseLogs\Auditing\ApplicationManagerEvents_%COMPUTERNAME%
- Format für lokales Dateiprotokoll – Geben Sie an, ob das Ereignisprotokoll im Format XML oder im Format CSV gespeichert werden soll.
Bei Enterprise-Installationen können Ereignisse über den Deployment Agent (CCA) an Management Center weitergeleitet werden. Bei Verwendung dieser Auditing-Methode werden Ereignisdatenspeicherung und -filterung über die Management Center-Konsole konfiguriert.
Weitere Informationen finden Sie in der Hilfe zu Management Center.
Auswählen der auszulösenden Ereignisse
In diesem Abschnitt des Dialogfelds sind sämtliche Application Control-Ereignisse aufgeführt. Markieren Sie das Kontrollkästchen Lokal protokollieren für diejenigen Ereignisse, die Sie gemäß den ausgewählten Optionen für das Auditing-Verhalten lokal auslösen möchten.
Einige Ereignisse unterliegen der Ereignisfilterung. Zusätzlich zu deren Aktivierung über das Kontrollkästchen "Lokale Protokollierung" muss auch die Ereignisfilterung wie erforderlich konfiguriert sein.
Verfügbare Ereignisse
| Ereignis-ID | Ereignisname | Ereignisbeschreibung |
|---|---|---|
| 9000 | Verweigerte Ausführung | Verweigerte Ausführungsanforderung. |
| 9001 | Zulässige Ausführung | Zugelassene Ausführungsanforderung. Eine einzige Anforderung für eine Anwendung kann mehrere 9001-Ereignisse generieren. Dies liegt an der Art und Weise, in der Windows auf Ausführungsanforderungen reagiert. Es bietet sich daher an, mittels Ereignis 9015 genau zu prüfen, wie oft ein Benutzer eine Anwendung ausgeführt hat. |
| 9002 | Besitzer nach Überschreiben geändert | Überschreiben einer zulässigen ausführbaren Datei. |
| 9003 | Besitzer nach Umbenennen geändert | Umbenennen einer verweigerten ausführbaren Datei. |
| 9004 | Verweigert wegen Anwendungslimit | Verweigert wegen Anwendungslimit. |
| 9005 | Verweigert wegen Zeitlimit | Verweigert wegen Zeitlimit. |
| 9006 | Selbstautorisierung | Benutzer hat Selbstautorisierung beschlossen. |
| 9007 | Zulassen nach Selbstautorisierung | Ausführungsanforderung nach Selbstautorisierung. |
| 9009 | Timeout bei Skriptregel | Timeout bei Skriptausführung. |
| 9010 | Skriptregel fehlgeschlagen | Skript konnte nicht ausgeführt werden. Dieses Ereignis wird nur für VB Script-Fehler ausgelöst. |
| 9011 | Skriptregel erfolgreich | Skript erfolgreich ausgeführt. |
| 9012 | Verweigert, da kein vertrauenswürdiger Anbieter | Das digitale Zertifikat hat die Prüfung auf vertrauenswürdigen Anbieter nicht bestanden. |
| 9013 | Netzwerkelement verweigert | Anforderung für Netzwerkelement verweigert. |
| 9014 | Netzwerkelement zulässig | Anforderung für Netzwerkelement zulässig. |
| 9015 | Anwendung gestartet | Eine zulässige Anwendung wurde gestartet. Eine einzige Anforderung für eine Anwendung kann mehrere 9001-Ereignisse generieren. Dies liegt an der Art und Weise, in der Windows auf Ausführungsanforderungen reagiert. Es bietet sich daher an, mittels Ereignis 9015 genau zu prüfen, wie oft ein Benutzer eine Anwendung ausgeführt hat. |
| 9016 | Besitzer kann nicht geändert werden. | Der Besitzer der Datei konnte nicht geändert werden. |
| 9017 | Beenden der Anwendung | Eine verweigerte Anwendung wurde durch Application Control beendet. |
| 9018 | Benutzerrechte für Anwendung geändert | Die Benutzerrechte der Anwendung haben sich geändert. Siehe auch 9023. |
| 9019 | Web-Installation zulässig | Zulässige Anforderung für Web-Installation. |
| 9020 | Web-Installation eingeschränkt | Eingeschränkte Anforderung für Web-Installation. |
| 9021 | Web-Installation eingeschränkt | Durch Windows eingeschränkte Anforderung für Web-Installation. |
| 9022 | Web-Installation fehlgeschlagen | Die Web-Installation ist fehlgeschlagen. |
| 9023 | Self-Elevation zulässig |
Self-Elevation-Anfragen. |
| 9024 | URL-Umleitung | Es hat eine URL-Umleitung stattgefunden. |
| 9051 | Richtlinienänderung gewährt | Ein Antrag auf Richtlinienänderung wurde gewährt. |
| 9052 | Ungültiger Antwortcode Richtlinienänderung | Für einen Antrag auf Richtlinienänderung wurde ein falscher Antwortcode eingegeben. |
| 9053 | Vom Benutzer angeforderte Genehmigung | Eine Anwendung wurde nach zulässiger Richtlinienänderung gestartet. |
| 9054 | Vom Benutzer angeforderte Erhöhung | Eine Anwendung wurde nach erfolgter Richtlinienänderung mit erweiterten Rechten gestartet. |
| 9055 | Dienst Start/Stopp | Ein Dienst wurde gestartet oder gestoppt. |
| 9056 | Nicht vertrauenswürdige Datei mit übereinstimmenden Metadaten | Beim Abgleichen von Metadaten konnte das Zertifikat einer signierten Datei nicht verifiziert werden. |
| 9060 | Ausführung verweigert (Vertrauenswürdiger Besitz) | Der Antrag auf Ausführung wurde verweigert (Vertrauenswürdiger Besitz). |
| 9061 | Ausführung verweigert (Regelrichtlinie) | Der Antrag auf Ausführung wurde verweigert (Regelrichtlinie). |
| 9062 | Ereignis durch Admin-Prozess gestartet | Eine Anwendung wurde mit erhöhten Rechten (uneingeschränkte Administratorrechte) gestartet. |
| 9096 | Zusammenführen von Konfigurationen erfolgreich | Das Zusammenführen von Konfigurationen war erfolgreich. |
| 9097 | Zusammenführen von Konfigurationen fehlgeschlagen | Das Zusammenführen von Konfigurationen ist fehlgeschlagen. |
| 9098 | Timeout beim Zusammenführen von Konfigurationen | Beim Zusammenführen von Konfigurationen ist es während des Wartens auf geplante Dateien zu einem Timeout gekommen. |
| 9099 | Agent nicht lizenziert | Application Control ist nicht lizenziert. |
Hinweise
•Eine einzige Anforderung für eine Anwendung kann mehrere 9001-Ereignisse generieren. Dies liegt an der Art und Weise, in der Windows auf Ausführungsanforderungen reagiert. Es bietet sich daher an, mittels Ereignis 9015 genau zu prüfen, wie oft ein Benutzer eine Anwendung ausgeführt hat.
Die Ereignisse 9001, 9007, 9014 und 9015 sind standardmäßig deaktiviert, da sie ein hohes Maß an Ereignisdaten auf stark ausgelasteten Endpunkten generieren können. Es wird empfohlen, diese Ereignisse nur für Fehlerbehebungszwecke und nur für einen kurzen Zeitraum zu verwenden.
•In Release 2020.2 von Application Control wurden die Ereignis-IDs 9060 und 9061 eingeführt. Standardmäßig sind beide Ereignisse deaktiviert. Sie ermöglichen es IT-Organisationen, bei Bedarf zwischen Ausführungsanforderungen, die durch "Vertrauenswürdiger Besitz" blockiert wurden, und solchen, die explizit durch eine Regelrichtlinie blockiert wurden, zu unterscheiden.
Aktivieren Sie dazu die IDs 9060 und/oder 9061 nach Bedarf. Um doppelte Benachrichtigungen zu vermeiden, wenn Sie eine oder beide dieser Einstellungen aktivieren, sollten Sie die Ereignis-ID 9000 deaktivieren.
•In Release 2020.2 wurde außerdem die Ereignis-ID 9062 eingeführt. Sie identifiziert Prozesse, die unter Verwendung uneingeschränkter Administratorrechte gestartet wurden. Sie erleichtert die Beurteilung, welche erhöhten Rechte erforderlich sind. Beachten Sie, dass bei deaktivierter Windows UAC oder bei Verwendung des integrierten Administratorkontos alle Prozesse mit uneingeschränkten Administratorrechten ausgeführt werden. Dies führt dazu, dass zahlreiche Benachrichtigungen generiert werden.
Ereignisfilterung
Mithilfe der Ereignisfilterung können Sie die zu prüfenden Dateitypen filtern. Dies bietet sich vor allem bei Ereignissen mit hohem Dateivolumen an. Die Tabelle für die Ereignisfilterung kann im Dialogfeld "Auditing" durch Klicken auf Ereignisfilterung aufgerufen werden. Die Option Ereignisfilterung aktivieren ist standardmäßig aktiviert und für das Verbinden der empfohlenen Dateifilter konfiguriert. Aktualisieren Sie die Einstellungen nach Bedarf, indem Sie die zu prüfenden Dateitypen für jedes aufgelistete Ereignis auswählen. Klicken Sie auf Hinzufügen, um neue Dateitypen für die erforderlichen Ereignistypen anzugeben.
Wenn Sie die Ereignisfilterung in einer Konfiguration aktivieren möchten, für die ein Upgrade von einem früheren Release von Application Control durchgeführt wurde, müssen Sie abgesehen von der Aktivierung der Ereignisfilterung für die Ereignis-IDs, wie oben beschrieben, manuell das Kontrollkästchen Ereignisfilterung aktivieren für den erforderlichen Dateityp markieren.
Systemereignisse
Die folgenden Systemereignisse sind nicht konfigurierbar:
| Ereignis-ID | Ereignisname | Ereignisbeschreibung |
|---|---|---|
| 8000 | Dienst gestartet | Application Control Agent: Dienst gestartet. |
| 8001 | Der Dienst wurde angehalten | Application Control Agent: Dienst angehalten. |
| 8095 | Keine Konfiguration gefunden | Application Control konnte keine gültige Konfiguration ermitteln. |
| 8099 | Ungültige Lizenz | Application Control Software nicht lizenziert. |