Windows 事件記錄保留

雖然 Tenable Identity Exposure 會盡力處理 Windows 事件記錄,以支援攻擊指標功能中的安全性分析,但仍有技術限制,例如服務執行機器上的可用記憶體。

預設全域保留期 為 5 分鐘。不過特定 Windows 事件記錄會延長保留期,以減輕安全性引擎可能遇到的相關性問題:

  • SYSMON 57225723:保留 6 小時。

  • Microsoft-Windows-Security-Auditing/4624:此記錄的保留期是動態的,因為此記錄在攻擊指標中大量用於偵測和關聯。系統會根據記憶體使用情形調整保留,以平衡事件處理與系統資源:

    • 第一個小時:安全性分析服務會套用 5 分鐘的預設保留期。

    • 在第一個小時後,系統會評估剩餘記憶體並調整保留期,如下所示:

      • 如果可用記憶體超過 50%:1 天。

      • 若可用記憶體為 35%-50%:6 小時。

      • 若可用記憶體為 20%-35%:1 小時。

      • 若可用記憶體為 10%-20%:10 分鐘。

      • 若可用記憶體低於 10%:預設 5 分鐘。

此動態方法可確保系統可有效管理傳入事件,同時維持足夠的記憶體進行安全性分析。