Auditing
Protokollierte Ereignisse für BitLocker
Vom BitLocker Client gemeldete Ereignisse werden wie für alle anderen SafeGuard Enterprise Clients protokolliert. Dabei wird nicht explizit erwähnt, dass sich das Ereignis auf einen BitLocker Client bezieht. Die Berichte entsprechen den für jeden anderen SafeGuard Enterprise Client erzeugten Berichten.
Protokollierte Ereignisse für Wiederherstellung mit BitLocker Recovery-Schlüssel-ID
Wenn die BitLocker Wiederherstellungsschlüssel-ID einem Sicherheitsbeauftragten angezeigt wird, wird ein Ereignis protokolliert (Ereignis 2088).
Protokollierte Ereignisse für asynchrone Verschlüsselung
- Die asynchrone Verschlüsselung hat eine Datei verschlüsselt (Ereignis 3018)
- Die asynchrone Verschlüsselung hat eine Datei entschlüsselt (Ereignis 3019)
Sie können eine Liste dieser Ereignisse im SafeGuard Management Center unter Berichte in der Ereignisanzeige auflisten lassen.
Ereignisse (Log Events) für Unbestätigte Benutzer
In folgenden Fällen wird ein Ereignis protokolliert:
- Benutzer werden zur Gruppe .Unbestätigte Benutzer hinzugefügt (Ereignis 2801)
- Benutzer wurden erfolgreich bestätigt (Ereignis 2800)
-
Die Option Benutzer automatisch bestätigen, die nicht über Active Directory authentisiert werden können wird aktiviert (Ereignis 2802).
-
Die Option Benutzer automatisch bestätigen, die nicht über Active Directory authentisiert werden können wird deaktiviert (Ereignis 2803).
-
Benutzer wurden automatisch bestätigt (Ereignis 2804)
Protokollierte Ereignisse beim Löschen von Domänen, OU-Knoten und Arbeitsgruppen
In folgenden Fällen wird ein Ereignis protokolliert:
-
Die Option Löschen von Domänen, OU-Knoten und Arbeitsgruppen verhindern ist aktiviert. Die Nachricht zeigt dem Sicherheitsbeauftragten an, wer sie aktiviert hat (Ereignis 2805).
-
Die Option Löschen von Domänen, OU-Knoten und Arbeitsgruppen verhindern ist deaktiviert. Die Nachricht zeigt dem Sicherheitsbeauftragten an, wer sie deaktiviert hat (Ereignis 2806).
Protokollierte Ereignisse für Benutzer, Computer oder Arbeitsgruppen
Die erfolgreiche bzw. nicht erfolgreiche Registrierung eines Benutzers, Computers oder einer Arbeitsgruppe wird protokolliert. Sie können eine Liste dieser Ereignisse im SafeGuard Management Center unter Berichte in der Ereignisanzeige auflisten lassen.
Protokollierte Ereignisse beim Aktivieren/Deaktivieren der Richtlinienverteilung
In folgenden Fällen wird ein Ereignis protokolliert:
- Richtlinienverteilung wird vom Sicherheitsbeauftragten deaktiviert. Die Nachricht zeigt dem Sicherheitsbeauftragten an, wer die Richtlinienverteilung deaktiviert hat (Ereignis 2770).
- Richtlinienverteilung wird vom Sicherheitsbeauftragten aktiviert. Die Nachricht zeigt dem Sicherheitsbeauftragten an, wer die Richtlinienverteilung aktiviert hat (Ereignis 2771).
- Richtlinienverteilung wird durch das Lizenz-Management deaktiviert (Ereignis 2773). Mögliche Gründe:
- ungültige Lizenzen
- abgelaufene Lizenz
- überschrittene Lizenzen
- Richtlinienverteilung wird durch das Lizenz-Management aktiviert (Ereignis 2771).
Sie können eine Liste dieser Ereignisse im SafeGuard Management Center unter Berichte in der Ereignisanzeige auflisten lassen.
Protokollierte Ereignisse für Service Account Listen
FDE
Die in Zusammenhang mit Service Account Listen durchgeführten Aktionen werden über die folgenden Ereignisse protokolliert:
SafeGuard Management Center
- Service Account Liste <Name> angelegt.
- Service Account Liste <Name> geändert.
- Service Account Liste <Name> gelöscht.
Durch SafeGuard Enterprise geschützte Endpoints
- Windows-Benutzer <Domäne/Benutzer> hat sich um <Zeit> an Maschine <Domäne/Computer> als SGN Service Account angemeldet.
- Neue Service Account Liste importiert.
- Service Account Liste <Name> gelöscht.
Protokollierte Ereignisse für den Taskplaner
Zur Ausführung von Tasks lassen sich Ereignisse protokollieren, die zum Beispiel bei der Fehlerbehebung nützliche Informationen liefern. Sie können festlegen, dass folgende Ereignisse protokolliert werden:
-
Task erfolgreich ausgeführt
-
Task fehlgeschlagen
-
Service Thread wegen Ausführung gestoppt
Die Ereignisse enthalten den Output der Skriptkonsole zur Unterstützung bei der Fehlerbehebung.
Für weitere Informationen zur Protokollierung, siehe Berichte.
Protokollierung des Dateizugriffs im Cloud-Speicher
Mit der Funktion Berichte im SafeGuard Management Center lässt sich der Dateizugriff im Cloud-Speicher protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, ob für die Dateien eine Verschlüsselungsrichtlinie gilt.
In einer Richtlinie vom Typ Protokollierung können Sie Folgendes konfigurieren:
- Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium erstellt wird.
- Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium umbenannt wird.
- Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium gelöscht wird.
Weitere Informationen finden Sie unter Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher.
Protokollierung des Dateizugriffs auf Wechselmedien
DX
Mit der Funktion Berichte des SafeGuard Management Center lässt sich der Dateizugriff auf Wechselmedien protokollieren (Datei-Tracking). Für Datei-Tracking spielt es keine Rolle, ob für Dateien auf Wechselmedien eine Verschlüsselungsrichtlinie gilt.
In einer Richtlinie vom Typ Protokollierung können Sie Folgendes konfigurieren:
- Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium angelegt wird.
- Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis auf dem Wechselmedium umbenannt wird.
- Protokollierung eines Ereignisses, wenn eine Datei oder ein Verzeichnis vom Wechselmedium gelöscht wird.
Weitere Informationen finden Sie unter Datei-Tracking-Bericht für Wechselmedien und Cloud-Speicher.