Я же спросил, не "ЧТО надо делать", а "ЗАЧЕМ это надо делать" 😊

У вас доступ к чему должен контролироваться? К каждому файлу или процессу? Вы представляете какой это объем записей в логе? Винда, если мне не изменяет память, держит до года логи без перезаписи. Но вот объем их на узле будет зашкаливающем при вашем требовании. То есть вам понадобится отдельное хранилище под LM/SIEM. И так как это затраты (SIEMы часто лицензируются по объему хранения), то вновь возникает вопрос "ЗАЧЕМ вам надо хранить все попытки доступа в течение года?" Что вы хотите решить таким требованием? Вы ретроспективный анализ за год будете проводить? Что-то еще?

Спустили документ))) там написано надо. Я так понял надо хранить в течение года все удачные и не удачные регистрации в windows.  По мне это нормально при условии что имеется доступ по rdp

Думаю, что нужен только аудит входа в систему и доступа к определенным папкам. Чтоб знать кто кудаикогда заходил в случае чего. Глубина логгирования в винде зависит от объема hdd.

Это нормально, если вы будете/умеете проводить ретроспективный анализ за год. Если у вас нет выделенных людей на расследование, то хранение в течение года вам ничего не даст кроме нагрузки на системы и роста затрат на лицензии LM/SIEM. Хранение удачных/неудачных попыток входа нужно только в совокупности с хранением иной информации. Без нее - это все глупое требование, написанное "для галочки" и без понимания. Правильно было бы иметь конкретные use case в описании которых было бы прописано, какие source нужны, какие конкретно события и в течение какого времени. Тогда было бы понятно, зачем это все нужно

Ну не у всех есть деньги на siem. Некоторые ограничиваются хранением логов на каждом арм для разбора уже после того как что-то случилось

Возможно это пригодиться в случае  какого нить ЧП. Для разбора полётов. Нагрузка на ПК?)) В том что на рабочей станции которая 24/7 работает от имени пользователя и раз в месяц на заходит админ что бы антивирус обновить.

Чтобы разбирать что-то когда это случилось, надо заранее знать, что собирать и зачем. Одних событий входа/выхода без сбора дополнительных данных недостаточно для расследования инцидента

В такой постановке задачи, увы, не пригодится

Это только часть документа а не весь целиком. Я иду по последовательно по нему. И кто писал этот документ думаю не просто так это туда написал.

Выскажу крамольную мысль, но подозреваю, что эти фразы написано "чтобы было" или "а почему бы и нет" 😞 Очень часто документы пишут люди, которые нахватались теории, возможно, неплохой, но не могут ее применить к конкретной ситуации. Вот и в данном случае так. Приведенная формулировка говорит о том, что ее автор не понимает, как работает механизм регистрации событий в Windows и какие события там вообще есть. То есть фраза про регистрацию удачных и неудачных событий аутентификации/авторизации он услышал где-то, например, в доках регуляторов, но дальше не стал детализировать - дословно и внес в документ

Возможно я  не правильно объяснил  или перевел данный пункт документа.  Я уточню завтра это. Мне интересны  ваши доводы почему это бесполезно? Чтобы завтра уточнить с наглядным примером

Если этот пункт нужен для выполнения каких-то требований регуляторов, то он полезен. Но для реального расследования инцидентов - нет. Непонятно, какие события в Win10 надо сохранять? И непонятно, зачем они нужны? И непонятно, почему год? Если данные не должны удаляться или изменяться, то они точно не должны храниться на ПК пользователя, то есть возникает вопрос централизованного сбора и хранения данных, то есть на самом ПК их хранить нельзя. Но есть ли в организации решение централизованного LM?

Ребят посоветуйте книжку какую-нибудь по основам ИБ

По поводу изменения, там есть пункт который гласит что доступ к журналу есть только у администратора. К централизованному решение будет идти но это со временем. И возможно компьютеры из этой зоны в него не попадут. зона не очень важная видео наблюдения,  сервера скуд.

На бумаге можно написать все, что угодно. В реальности, когда у вас логи на ПК, то там и пользователь может их попробовать удалить (тем более, что события доступа к логу не пишутся), и вредонос, попавший на ПК, тоже. Поэтому требование целостности не соблюдается 😞

Джон Чирилло обнаружение хакерских атак и защита от хакеров

Hacking exposed

Давайте начнем с простого - что Вы понимаете под ИБ? О чем должна быть книга :) Если просто "про ИБ", то лучше поищите книгу "по сновам ИТ", "...компьютерных сетей", "...баз данных". ИМХО.

Ну началось ;-)