インターセプトされるイベントのタイプ
内容
capamsc141
内容
Privileged Access Manager
は、以下の 2 つのタイプのイベントをインターセプトします。- インターセプト イベントインターセプト イベントからの情報はプロセスの一部としてキャッシュされ、将来監査イベントによって使用されます。
- イベント監査
インターセプト モード
Privileged Access Manager
は、インターセプト モードに基づいて、インターセプト、権限チェック、アクセス要求イベントの監査レコードのログ記録を行います。Privileged Access Manager
には、以下のインターセプト モードがあります。- Full Enforcement モード
- Audit Only モード
- No Interception モード
警告モードはインターセプト モードではありません。警告モードは、Full Enforcement モードでのみ機能し、実装時の短期的な使用を目的としています。
Audit Only モード
Audit Only モード
は、アクセス ルールをチェックしたり適用したりせずに、インターセプトされたすべてのイベントを記録します。このモードは、コンプライアンス要件または規則に関するデータを収集するために使用します。Audit Only モードでは、Privileged Access Manager
はイベントをインターセプトして監査イベントを記録しますが、認証要求を処理せず、ルールも適用しません。その結果、Privileged Access Manager
は、インターセプトしたすべてのアクセス要求を許可します。これは、すべてのイベントに対して、監査ログに記録される認証結果が P
(許可)であることを意味します。Audit Only モードには、以下の制限事項が適用されます。リソースおよびユーザの監査プロパティは、考慮
されません
。Audit Only モードでは、リソース固有の設定であっても、ユーザ固有の設定であっても、インターセプトされた
すべての
イベントが記録されます。Audit Only モードのセットアップ
Audit Only モード
は、アクセス ルールをチェックしたり適用したりせずに、インターセプトされたすべてのイベントを記録します。このモードは、コンプライアンス要件または規則に関するデータを収集するために使用します。Audit Only モードをセットアップするには、SeOSD\GeneralInterceptionMode
Privileged Access Manager
レジストリ エントリを 1 に設定します。 Audit Only モードを使用する場合、監査ログ用に十分なディスク容量があり、監査ログのサイズ制限が十分な大きさであることを確認してください。また、監査ログのバックアップのオプションについても考慮します。