Windows 事件日志保留

尽管 Tenable Identity Exposure 努力处理尽可能多的 Windows 事件日志,以支持攻击指标功能内的安全分析,但仍存在技术限制,例如运行服务的计算机的可用内存。

默认的全局保留期为 5 分钟。不过,我们延长了特定 Windows 事件日志的保留期,以缓解安全引擎可能遇到的相关问题:

  • SYSMON 57225723:保留 6 小时。

  • Microsoft-Windows-Security-Auditing/4624:此日志的保留期是动态的,因为它在攻击指标中大量用于检测和关联。系统会根据内存使用情况调整保留期,以保持事件处理与系统资源的平衡:

    • 第一个小时:安全分析服务应用 5 分钟的默认保留期。

    • 在第一个小时之后,系统会评估剩余内存并调整保留期,如下所示:

      • 如果可用内存超过 50%,保留时长为 1 天。

      • 如果可用内存为35%-50%,保留时长为 6 小时。

      • 如果可用内存为20%-35%,保留时长为 1 小时。

      • 如果可用内存为10%-20%:保留时长为 10 分钟。

      • 如果可用内存低于 10%:默认为 5 分钟。

此动态方法可确保系统有效地管理传入事件,同时保留足够的内存进行安全分析。