アーカイブされたデータからのAD監査レポート
企業の規模が大きくなり、規制当局によって厳格なコンプライアンス慣行が施行されると、アーカイブされたデータをリストアして追跡する義務は、選択肢ではなく本質的なものになります。
規制行為の中には、業務データを3年から10年間保持する必要があるものがあります。7〜8年前のように、特にそのようなニーズに対応していないネイティブのアーカイブ手法を使用した場合、データの再現がどれほど困難であったか覚えていますか?これには、一般的に使用されているシステムで再現するときに、容易に理解できる形式で監査データをアーカイブすることが必要とされます。
アーカイブの必要性
アーカイブはコンプライアンスだけの理由によって必要となるわけではありません。アーカイブされたデータは、次の目的で組織にとって非常に重要です。
- 法医学的分析と報告の手助け。
- さまざまなコンプライアンスニーズに必要な監査データが安全で変更されていないことを確認するため。(SOX、HIPAA、GLBAなどのコンプライアンス要件では最低3年以上の監査ログデータの保存が要求されます)。
- 内部セキュリティの失効の原因となった不正なアクセス施行を特定したり、すでに確立されている内部組織ポリシーを維持するためのMicrosoft Windows Active Directory、ファイルサーバーまたはメンバーサーバーの分析。
- さまざまな期間のリソース使用パターンを調べることによって、リソース容量を計画。
- 不審なユーザー(ユーザーのログオンデータ)を隔離し、監査証跡を参照して過去のセキュリティ攻撃に関与しているかどうか確認。
次の段落では、アーカイブ・再生メソッドの課題が強調されています。各課題の後に代替案が記述されています。ADAudit Plusは、アーカイブに必要なすべてのものを統合しています。
データストレージ
AD変更データはドメインコントローラーのセキュリティログに保存されますが、最大4GBのサイズに制限されています。また、「必要に応じてイベントを上書きする」や「上書きしない」などのログ管理オプションを使用すると、よりイベントの肥大化を防止することが可能です。
これは、余分なログのセカンダリストレージへの転送をスケジュールする必要性を示しています。
データオーバーロード
ドメインコントローラーのセキュリティログに記録されている、全体の活動履歴は役に立たないかもしれません。これは、過大な量のログデータを格納するのに必要なスペースによる考察です。
一般の専門家は、運用上、セキュリティ上、コンプライアンス上のニーズの追跡に関連する情報のみをフィルタリングし、優先分別し、アーカイブすることを推奨しています。これにより、アーカイブデータのストレージ要件を大幅に削減できます。
保存形式
アーカイブ中、ファイルは最適な領域を消費するように圧縮されます。圧縮プロセス中、イベントヘッダは、それぞれのイベントデータとともにバイナリ形式でタグ付けされます。
バイナリ形式は、アーカイブされた監査データのリストアには役立ちません。これは、一定期間の再構築が不可能になるためです。
ADAudit Plusの利点であるアーカイブデータのリストア
アーカイブされたデータをリストアするのに役立つADAudit Plusの利点は次のとおりです。
- ユーザーが定義した場所に監査データをアーカイブできます。これは、ネットワーク内の任意の場所にあるストレージサーバーに設定することもできます。
- 必要なActive Directoryの変更データのみをアーカイブすることで、通常のセカンダリストレージの方法に関連する情報混乱を軽減します。
- 変更データの個々のジャーナルをカタログ化し、複数の圧縮ファイルにグループ分けし、イベントの発生日時を記録します。これらの圧縮ファイルには、フィルタリングされたログ情報が含まれています。
- ジャーナルデータは、必要な時に所望の期間の間、復元および再生を可能にする形式で保存されます。
アーカイブされたデータのリストアによる履歴レポート
ADAudit Plusは、組織が必要なアーカイブデータの格納を支援する他、ユーザーが定義した期間のレポートを作成することもできます。これにより、煩雑な監査データの格納とレポートの再作成が簡単になります。
監査データの保存
このアーカイブされたデータは、ADAudit Plusアプリケーションで簡単に復元して使用することができ、ユーザーがレポート期間を決定する「カスタムレポート」に使用されます。ADAudit Plusでは、この復元されたデータを使用して、過去の日付のカスタムレポートを作成できます。
このようなカスタムレポートは、法医学、セキュリティ、コンプライアンス監査において重要な役割を果たします。
ADAudit Plusのアーカイブプロセスの違いとは?
- 迅速かつ安全でエラーのないアーカイブデータのレポートを作成。
- 履歴レポートにおける任意のカスタム期間のアーカイブイベントの即時選択とレポート。
- 自動化され整理されたアーカイブプロセス。