正在审核
在此部分:
关于审计
Application Control 审计功能允许针对审计信息的捕获定义规则并引发事件,还包含一个筛选器,用于指定想要在日志中捕获的事件。可从“管理”功能区访问审计。
控制一般审计行为
使用以下选项控制一般审计行为并选择要引发的事件:
- 将事件发送到应用程序事件日志 - 选择是否将事件发送到应用程序事件日志。
- 将事件发送到 AppSense 事件日志 - 选择是否将事件发送到 AppSense 事件日志。只能将事件发送到应用程序事件日志或 AppSense 事件日志。
- 使事件匿名 - 指定事件是否为匿名。如果是,则所有事件中都将省略计算机名和用户名。匿名记录还会搜索文件路径,查找目录匹配用户名的任何实例并使用字符串替换目录名
- 将事件发送到本地文件日志 - 选择是否将事件发送到本地文件日志。如果为是,事件将被发送到文本框中指定的本地日志文件。默认位置为:%SYSTEMDRIVE%\AppSenseLogs\Auditing\ApplicationManagerEvents_%COMPUTERNAME%
- 本地文件日志格式 - 指定事件日志保存为 XML 格式或 CSV 格式。
在企业安装中,事件可以通过部署代理 (CCA) 转发到 Management Center。使用此方法进行审计时,通过 Management Center 控制台配置事件数据存储和筛选。
有关详细信息,请参阅 Management Center 帮助。
选择要提升的事件
对话框的此部分列出所有 Application Control 事件。根据选定的审计行为选项,为要本地提升的事件选择本地记录复选框。
请注意,有些事件会受到事件筛选的约束,因此除了通过“本地日志”复选框启用外,还需要确保已根据需要配置事件筛选。
可用事件
| 事件 ID | 事件名称 | 事件描述 |
|---|---|---|
| 9000 | 拒绝的执行 | 拒绝的执行请求。 |
| 9001 | 允许的执行 | 允许的执行请求。 由于 Windows 响应执行请求的方式,应用程序的单个请求可生成多个 9001 事件。因此,最好使用事件 9015 来准确地审核用户运行应用程序的次数。 |
| 9002 | 覆盖更改的所有者 | 覆盖允许的可执行文件。 |
| 9003 | 重命名更改的所有者 | 重命名拒绝的可执行文件。 |
| 9004 | 应用程序限制拒绝 | 应用程序限制拒绝。 |
| 9005 | 时间限制拒绝 | 时间限制拒绝。 |
| 9006 | 自授权 | 用户的自授权决定。 |
| 9007 | 自授权允许 | 自授权执行请求。 |
| 9009 | 脚本规则超时 | 脚本执行已超时。 |
| 9010 | 脚本规则失败 | 脚本无法完成。 仅为 VB 脚本失败引发此事件。 |
| 9011 | 脚本规则成功 | 脚本成功完成。 |
| 9012 | 可信供应商拒绝 | 数字证书未通过可信供应商检查。 |
| 9013 | 网络项目拒绝 | 拒绝的网络项目请求。 |
| 9014 | 允许的网络活动 | 允许的网络项目请求。 |
| 9015 | 应用程序已启动 | 允许的应用程序已开始运行。 由于 Windows 响应执行请求的方式,应用程序的单个请求可生成多个 9001 事件。因此,最好使用事件 9015 来准确地审核用户运行应用程序的次数。 |
| 9016 | 无法更改所有权 | 无法更改文件的所有权。 |
| 9017 | 应用程序终止 | 拒绝的应用程序已被 Application Control 终止。 |
| 9018 | 应用程序用户权限已更改 | 应用程序的用户权限已更改。 另请参阅 9023。 |
| 9019 | Web 安装允许 | 允许的 Web 安装请求。 |
| 9020 | Web 安装受限制 | 受限制的 Web 安装请求。 |
| 9021 | Web 安装受限制 | Windows 受限制的 Web 安装请求。 |
| 9022 | Web 安装失败 | Web 安装无法完成。 |
| 9023 | 允许的自行提升 | 自行提升请求。 也用于代替 9018 事件,而且事件中的规则项目用户权限应用程序已配置为在提升之前提示用户。 |
| 9024 | URL 重定向 | URL 重定向已发生。 |
| 9051 | 策略更改已授予 | 已授予策略更改请求。 |
| 9052 | 策略更改无效响应代码 | 为策略更改请求输入的响应代码无效。 |
| 9053 | 用户请求的允许 | 允许的策略更改应用程序已启动。 |
| 9054 | 用户请求的提升 | 提升的策略更改应用程序已启动。 |
| 9055 | 服务启动/停止 | 服务已启动或停止。 |
| 9056 | 具有元数据匹配的不可信文件 | 匹配元数据时无法验证已签名文件的证书。 |
| 9060 | 拒绝的执行(受信任的所有权) | 拒绝的执行请求(受信任的所有权) |
| 9061 | 拒绝的执行(规则策略) | 拒绝的执行请求(规则策略) |
| 9062 | 管理员进程已启动事件 | 已使用提升后的权限(完全权限管理员)启动应用程序。 |
| 9063 | UAC 替换 - 审计 | 用户为提升的权限的要求提供的原因。 |
| 9096 | 配置合并成功 | 配置合并已成功完成。 |
| 9097 | 配置合并失败 | 配置合并已失败。 |
| 9098 | 配置合并超时 | 配置合并已超时,等待预期的文件。 |
| 9099 | 未许可代理 | 未许可 Application Control。 |
说明
•由于 Windows 响应执行请求的方式,针对应用程序的单个请求可能会生成多个 9001 事件。因此,最好使用事件 9015 来准确地审核用户运行应用程序的次数。
9001、9007、9014 和 9015 事件默认已禁用,因为这些事件会在忙碌的端点上生成过多的事件数据。我们建议仅将这些事件用于故障排除目的,并且仅使用较短的时间。
•2020.2 版本的Application Control引入事件 ID:9060 和 9061。默认情况下会禁用这两个事件。如有需要,这两个事件可以使组织区分由受信任的所有权阻止的执行请求与由规则策略明确阻止的执行请求。
如需实现这种区别,可以根据需要启用事件 ID 9060 和/或 9061。如果启用其中一个(或两个)设置,为了防止重复通知,应禁用事件 ID 9000。
•2020.2 版本还引入了事件 ID 9062。此事件可识别使用完全管理员权限启动的进程,在评估需要哪些提升权限时非常有用。请注意,禁用 Windows UAC 或使用内置的管理员帐户时,所有进程都会使用完全管理员权限运行,因此会产生许多通知。
事件筛选
事件筛选让您能够筛选要审计的文件类型。如果您选择大容量事件,此功能特别有用。单击审计对话框中的事件筛选即可访问事件筛选器表。启用事件筛选默认已启用,配置用于联合推荐的文件筛选器。根据需要更新设置,为每个列出的事件选择要审计的文件类型。单击添加为所需的事件类型指定新的文件类型。
如需在升级自 Application Control 较早版本的配置中启用事件筛选,除了启用上述事件 ID 的事件筛选外,还需要手动选择所需文件类型的启用事件筛选复选框。
系统事件
以下为不可配置的系统事件:
| 事件 ID | 事件名称 | 事件描述 |
|---|---|---|
| 8000 | 服务已启动 | Application Control 代理:服务已启动。 |
| 8001 | 服务已停止 | Application Control 代理:服务已停止。 |
| 8095 | 未找到任何配置 | Application Control 无法找到有效配置。 |
| 8099 | 无效的许可证 | 未许可 Application Control 软件。 |