سامانه بومی مدیریت اطلاعات و رخدادهای امنیتی CoreLog® 3

 


امنیت مقوله ای بسیار پیچیده و متشکل از مولفه های مختلفی است. کارکنان، کاربران، پیمانکاران، شرکای تجاری، پایگاه های داده، وب سایت ها، برنامه های کاربردی و حتی زیرساخت های فیزیکی همه و همه از عوامل تاثیرگذار در شکل گیری یک سازمان امن هستند. مدیریت و نظارت بر همه این مولفه ها امری بسیار دشوار و در برخی موارد غیرممکن است. بخصوص اگر این نظارت با استفاده از ابزارهای جزیره ای و بعضا ناهمگون صورت پذیرد. شاید بتوان پاسخ این نگرانی را در گنج نهفته سازمانها یعنی Log (رخداد) جستجو کرد. Log بیانگر هر آن چیزی است که در سازمان رخ می دهد و در صورتی که بدرستی استفاده شود، دارایی با ارزشی برای سازمان محسوب می شود. مدیریت رخداد (Event Management) می تواند درحوزه امنیت، انطباق با سیاستهای سازمانی، توسعه برنامه های کاربردی و عملکرد های سازمانی بسیار قابل توجه باشد. رخداد (Event)، شاه کلید نظارت یکپارچه بر کل سازمان است. بنابراین استفاده از یک رویکرد جامع و یکپارچه برای مدیریت رخدادها، مانع از به هدر رفتن منابع سازمانی و در نتیجه کاهش ریسک های سازمان می شود. توانایی پاسخ سریع و جستجو و بررسی رخدادها در سازمان، اطلاعات جامع و کاملی را برای سازمان فراهم میکند. در واقع این اطلاعات سبب ایجاد چشم انداز جامعی در شبکه، سیستم ها و سلامتی برنامه های کاربردی شده و بهبود فعالیت های خطایابی سیستم ها و شبکه را به همراه دارد. بکارگیری صحیح رخدادها سبب می شود رویکرد سازمان در مواجه با حوادث از یک حالت واکنشی و تدافعی به یک حالت پیش بینی کننده و پیشگیرانه تبدیل شود و این ارزشمندترین نتیجه ای است که از رخداد حاصل می شود. در یک بیان کلی می توان اظهار داشت که در یک سازمان با بخش ها و واحدهای مختلف عملیاتی، دریافت و ذخیره رخدادهای تجهیزات مختلف سازمان و تجزیه و تحلیل خودکار آنها، اهرم کنترلی و نظارتی بسیار موثری است که بصورت کاملا یکپارچه، راهبران امنیتی را در شرایط بحران یاری می رساند.

behinpishro corelog logo mainpage
رخدادها می توانند برای نائل شدن به اهداف زیر مورد استفاده قرار گیرند:

  درک نحوه عملکرد تجهیزات، فرایندها و افراد در سازمان

  کشف رفتارهای غیرمعمول و بعضا مخرب

  مقابله با جرایم سایبری، با استفاده از تحلیل رخدادها و آثار بجا مانده از جرمهای قبلی

  بهبود فرایند مدیریت برنامه های کاربردی، سرور ها و زیر ساخت های سازمانی از طریق مانیتورینگ فرایندهای سازمان

  تسهیل توسعه برنامه های کاربردی از طریق تحلیل رخدادهای جمع آوری شده در جهت کشف نقص کدها، خطاها و مسائل مربوط به ارتباطات

مشکلات مدیریت رخدادها (Event Management)

  حجم رخدادها با گذشت زمان بسیار زیاد می شود. در برخی از موارد این حجم می تواند شامل میلیاردها رخداد و ترابایت ها فضای ذخیره سازی شود.

  رخدادها باید مدت زمان طولانی نگهداری شوند. طبق استاندارد ISMS رخدادهای جمع آوری شده از سیستم های مختلف بین 12 تا 18 ماه باید نگهداری شوند. این موضوع مدیریت رخدادها را در طول زمان دچار مشکل می سازد.

  فرمت رخدادهای تولیدی توسط تجهیزات مختلف، متفاوت است. پردازش رخدادها با فرمت های مختلف چالش دیگری در راه مدیریت رخدادها محسوب می شود.

  استخراج روابط بین رخدادهای مختلف و کشف دانش مخفی در این داده ها، فرایند بسیار پیچیده ای است.

  طراحی و ساخت موتور هوشمند کشف حملات در سامانه های مدیریت رخداد احتیاج به سطح بالاتری از دانش موجود دارد.

با توجه به در نظر گرفتن تمامی چالش های فوق، سامانه هایی تحت عنوان (SIEM (Security Information and Event Management ایجاد شده اند که به منظور "تبدیل داده های حاصل از رخدادها به اطلاعات و استخراج دانش از این اطلاعات" در جهت مدیریت متمرکز امنیت در سازمان توسعه داده شده اند.

SIEM چیست؟

ازآنجا که ثبت وقایع و رخدادهای مربوط به تجهیزات مختلف حجم عظیمی از اطلاعات را ایجاد می کند، مرور و بازرسی همه آن‌ها توسط عامل انسانی مستعد خطا بوده و در برخی موارد نیز غیر ممکن است. به منظور بازرسی و بررسی رخدادها، سامانه های (SIEM (Security Information and Event Management مرور خودکار داده ها را منطبق با قوانینی که مدیر سیستم تعریف می نماید بر عهده می گیرند. همچنین برای پیاده‌سازی استانداردهای امنیتی مانند ISO ، PCI DSS و ...، به جمع آوری و نگهداری رخدادهای تجهیزات سازمان تا مدت معینی نیاز است. نگهداشت بلندمدت رخدادها و امکان استفاده از این رخدادها در بلند مدت توسط سامانه های SIEM انجام می شود. رخدادها در سامانه SIEM به صورت اولویت بندی‌شده و براساس ریسکی که برای سازمان مطرح می کنند دسته بندی می‌شوند. این کار راهبر امنیتی سامانه را قادر می سازد که در میان انبوهی از رخدادها، به رخدادی که اهمیت بیشتری دارد، توجه کند. از سویی دیگر همیشه داشتن گزارشات گرافیکی برای درک سریع وضعیت امنیت سازمان، اهمیت زیادی دارند. این گزارش‌ها کار تحلیل و بررسی خط مبنا و خط سوق رخدادها را نشان می دهند. سامانه SIEM با تولید گزارشات گرافیکی سبب تسهیل کار مدیران در تحلیل داده ها می‌شود. بدین ترتیب در صورت بروز مشکلات امنیتی با استفاده از همین گزارشات گرافیکی می توان به کشف علت مشکلات تسریع بخشید. امروزه با افزایش حجم اطلاعات امنیتی و گسترش انواع محصولات مورد استفاده شرکت ها نیاز به یک کنترل متمرکز در سازمان ها برای پایش رخدادهای سازمان وجود دارد. علاوه بر لزوم مرور فایل‌های ثبت رخداد‌ در بررسی مطابقت با استانداردهای امنیتی نیاز به نرم افزاری که اتفاق رخدادهای مورد نظر و مهم را به راهبر شبکه اطلاع دهد، بسیار مهم است. به علاوه تحلیل رخداد به صورت بی‌درنگ و نیز بررسی خودکار رخدادها در مواردی که رخدادها حجم عظیمی را تشکیل می دهند، از اهمیت به سزایی برخوردار است. سامانه بومی کورلاگ ( CoreLog ) برای پاسخ به این نیاز فوری سازمان ها توسعه یافته است.

SIEM و مرکز عملیات امنیت SOC

امروزه با توجه به گسترش وقوع تعداد حملات امنیتی در سازمان ها و تنوع و پیچیدگی بسیار زیاد این حملات گرایش کارشناسان امنیت به سمت ادغام مراکز نظارت بر شبکه (NOC) با نظارت بر امنیت است. از آنجا که رخدادهای شبکه‌ای در سازمان جزئی از رخدادهای مهم امنیتی هستند به همین سبب استفاده از این راهکار باعث می شود بتوان نظارت همه جانبه‌ای را بر سازمان اعمال کرد. به عبارت دیگر این موضوع سبب یکپارچه شدن فرایندهای نظارتی و افزایش دقت و سرعت در واکنش به مسائل و مشکلات امنیتی می گردد. رخدادهای امنیتی با استفاده از Log های سرویس‌ها و تجهیزات مختلف در سازمان جمع آوری و توسط سامانه خودکار پردازش رخدادها مورد بازرسی و نظارت قرار می گیرند. در چنین حالتی مرکز ایجاد شده که تحت عنوان مرکز عملیات امنیت شناخته می شود باید مجهز به سامانه SIEM بعنوان قلب تپنده این مراکز باشد. این بدین معنی است که ایجاد مراکز SOC(Security Operations Center) بدون سامانه SIEM غیرممکن است.

چرا کورلاگ (CoreLog)
معرفی کورلاگ

تولید سامانه SIEM بومی با نام تجاری CoreLog از سال 88 در دستور کار شرکت بهین راهکار قرار گرفت. نسخه اول این سامانه بر اساس دانش کسب شده از بررسی سامانه های مشابه خارجی نظیر ArcSight ،Splunk و QRadar الگو برداری از عملکرد اینگونه سامانه ها تولید گردید. با توجه بازخورد بدست آمده از عملیاتی شدن دو مورد از نسخه اول سامانه مشخص گردید راهکارهای خارجی برای امنیت الزاماً نمی توانند تمامی شرایط مورد نیاز شرکت ها و سازمانهای ایرانی را برآورده سازند. از اینرو تولید نسخه دوم سامانه با رویکرد خاص بومی سازی محصول SIEM به لحاظ عملکرد آغاز گردید و نتیجه آن محصولی Enterprise مطابق با شرایط و الزامات داخلی کشور بود. این نسخه از سامانه در بیش از 10 شرکت و سازمان خصوصی و دولتی در حوزههای مختلف نفتی، بانکی، بیمه و غیره نصب و راه اندازی گردید. با توجه به اینکه سامانه های SIEM بشدت وابسته به مدیریت انسانی جهت بررسی و Tuning سیستم می باشند وجود قابلیتهای به منظور Customize کردن سیستم بر اساس نیازهای مشتری آن چیزی بود که موجب تولید کورلاگ نسخه 3 گردید. در این نسخه همه ماژولها بصورت داینامیک طراحی شده اند و مدیر سیستم می تواند به راحتی تمامی قسمتهای سامانه را با توجه به نیازهای سازمانی خود تغییر دهد. علاوه بر آن معماری توزیع شده سیستم این امکان را به سامانه می دهد تا با مقیاس پذیری بالا پاسخگوی گستره وسیعی از پروژه باشد. بکارگیری کورلاگ مزایای زیادی برای سازمان به همراه دارد که برخی از آنها عبارتند از:

  کشف حوادث امنیتی

  شناخت موارد تخلف از سیاست‌ها

  شناخت فعالیت های جعل هویت و نفوذ

  شناخت مشکلات عملیاتی

  تحلیل‌های کارآگاهی (بررسی علت حوادث)

  پشتیبانی از بازرسی‌های داخل سازمانی

  ایجاد baselineها و روندهای طبیعی و نظارت خودکار بر آنها

  شناخت و نظارت بر فرایندها عملیاتی سازمان

  شناخت مشکلات بلند‌مدت سازمانی

مزیت های کورلاگ
معماری کورلاگ

همانطور که در بخش های قبلی نیز اشاره شد کورلاگ (CoreLog) یک ساختار ماژولار و توزیع شده دارد. کامپوننت های مختلف در آن هر کدام وظیفه تامین بخشی از قابلیتهای آن را بر عهده دارند.

behinpishro corelog3

لیست کامپوننت های کورلاگ عبارتند از:

  CoreLog Server

  (Data Manager (Recorder

  Collector

  Connector

  Win Agent

  Central Management Console

کامپوننت ها از انتهایی ترین نقطه ارتباطی با تجهیزات شبکه
ماژول های اصلی CoreLog
لایسنسینگ کورلاگ

لایسنس بکارگیری سامانه کورلاگ مبتنی بر تعداد و نوع سنسورهای تولید کننده لاگ و میزان EPS تولیدی در شبکه سازمان است. جدول زیر این لایسنسها را برای کارفرما نمایش می دهد.

ردیف    عنوان تعداد پایه   تعداد کل
 1   CoreLog Enterprise 3 Base System    
 2   Collector ………….. eps (peak)    
 3      Sensors  Security    
 4  Network    
 5  Servers    
 6  Services    
 7  Clients    

در این روش کلیه تجهیزات تولید کننده کارفرما در پنج دسته بندی قرار می گیرند که هر کدام وزن متفاوتی در محاسبه هزینه لایسنس سازمان ایفا می کنند. همچنین میزان eps در تعیین تعداد کالکتورها و نیز معماری شبکه در تعیین تعداد سیستمهای base تاثیر گذار می باشند. علاوه بر موارد فوق در صورت تهیه ابزارهای جانبی نظیر:

  شهپاد

  سامانه تشخیص نفوذ (IDS)

  سامانه ارزیابی آسیب پذیریها (Vulnerability Assessment)

  سامانه Core Inventory

هزینه هر کدام بصورت مجزا محاسبه می شود.

ویژگی های کورلاگ
سنسورهای قابل پشتیبانی بصورت پیش فرض

سامانه بومی کورلاگ، بصورت پیش فرض از طیف گسترده ای از تجهیزات و سیستمهای مختلف برای دریافت لاگ پشتیبانی می کند. در جدول زیر به برخی از وندورها و سنسورهای قابل پشتیبانی اشاره شده است.

NO   Sensor name Brand   Sensor name Brand 
1  ACE   Cisco  JunOS  Juniper
2  AIX   IBM  Kaspersky  Kaspersky
3  TrendMicro Antivirus Manager  TrendMicro  Kerio UTM  Kerio
4  Apache Tomcat  Apache  Linux DHCP  Generic
5  APC  APC  Mail Security  Websense
6  ArubaOS WLAN Controller  Aruba  Meru Wireless Solution  Meru
7  ASA  Cisco  Mikrotik RouterOS  Mikrotik
8  Aventail VPN  Sonicwall  Mobility XE  NetMotion
9  BIND DNS  ISC  MySQL  MySQL AB
10  Call Manager  Cisco  Nagios Server  Nagios
11  Cisco CSA Management Center  Cisco  NetFlow  Cisco
12  Cisco MDS  Cisco  NeXpose Security Scanner  Rapid7
13  Cisco Secure ACS  Cisco  Nod32  ESET
14  CoreLog  BehinRahkar  Oracle  Oracle
15  Corelog Agent  BehinRahkar  OS400  IBM
16  CoreLog HIDS Agent  BehinRahkar  PAN-OS  Palo Alto
17  Core View  BehinRahkar  ParsGate  AmnAfzar Co.
18  Cyberoam UTM  Sophos  PIX  Cisco
19  DataONTAP  NetApp  PostgreSQL  Postgres
20  DB2  IBM  PPTP-L2TP VPN  Microsoft
21  DSGate  Douran  QualysGuard Scanner  Qualys
22  Endpoint Protection Service  Symantec  Secure Access  Juniper
23  ePolicy Orchestrator  McAfee  Security Gateway  Astaro
24  ESX Server  VMware  Security Scanner  Nessus
25  Exchange Operational  Microsoft  Sendmail Mail Server  Sendmail.org
26  Exchange Server Microsoft SGOS Web Proxy Blue Coat
27  Extremeware  Extreme  Sidewinder Firewall  McAfee
28  Firebox  WatchGuard  Snort IPS  Snort-org
29  FireWall-1  Checkpoint  Solaris  Sun
30  FortiOS  Fortinet  SolarX  Pars Fannavaran-e Kharazm
31  FortiWeb  Fortinet  SonicOS  Sonicwall
32  Frc Automation  Frc  Sophos Endpoint Control  Sophos
33  Free Radius  Generic  Spam Firewall  Barracuda
34  FWSM  Cisco  SQL Server  Microsoft
35  Generic  Generic  Squid Web Proxy  Squid-cache-org
36  DHCP  Generic  SRX JunOS  Juniper
37  HP Procurve  HP  SSG ScreenOS  Juniper
38  HPSanStorageP2000  HP  Steel-Belted RADIUS  Juniper
39  IAS  Microsoft  Suite360 Scanner  nCircle
40  IceWarp Mail Server  Ice Warp  TippingPoint UnityOne IPS  3Com
41  IDF  TrendMicro  Unix/Linux  Generic
42  IIS  Microsoft  Untangle Security Gateway  Untangle
43  IOS  Cisco  VPN 3K  Cisco
44  IPS  Cisco  VRP  Huawei
45  Iptables Firewall  Generic  Web Security  Websense
46  IP-VC Gateway  Radvision  DHCP  Microsoft
47  Ironware  Foundry  DNS  Microsoft
48  ISA Server  Microsoft  Windows  Microsoft
49  JEE App Server  Generic  WLAN Controller  Cisco
50  Juniper IDP  Juniper  Zenith ARCA  Zenith Infotech
گزارشات و داشبوردهای پیش فرض

کورلاگ یک سامانه بسیار غنی از بعد گزارشات و داشبوردهای پیش فرض به منظور استفاده ادمین های مراکز عملیات امنیت و کارشناسان امنیت می باشد. با توجه به وجود 1500 گزارش و داشبورد ذکر عناوین همه آنها در این مستند امکان پذیر نبوده و از این رو به تعدادی از آنها اشاره می شود. باید توجه داشت که در کورلاگ داشبوردها از گزارشات می توانند ساخته شوند از این رو عناوین زیر عناوین مشترک داشبورد و گزارش می باشند:

No Report/Dashboard Title Description
1  All Cisco Command  This report track all command that entered on cisco networking device
2  All Deny Traffic By Firewall  This report Track all Deny traffic that block by firewall
3  All Permit Traffic By Firewall  This report Track all Permit traffic by firewall
4  All receive events by severity and count  This report track all events receive group by severity and count
5  Cisco Duplexing mismatch  A mismatch Duplexing detected on your network (such as one side full duplex and other side half duplex)
6  Cisco Remote Failed Admin Login  A Remote User (with every Privilege) Failed Login.
7  Cisco Remote Successful Admin Login  A User (with every Privilege) Successfully Login.
8  Database Change Details  Track any change on database servers (SQL Server , Oracle , ...)
9  Domain Users , Computers or Groups Name Changed  Domain user , group or computer name change on Active Directory
10  Failed Database Server Logon Details  Captures failed database server logons
11  Failed Firewall Admin Logon Details  Details about failed firewall logons
12  Failed Login at Any Device  Captures detailed successful logins at any device or application including servers, network devices, domain controllers, VPN gateways, WLAN controllers and applications
13  Failed Network Admin Logon Details  Details about failed router logons
14  Failed Windows Domain Authentications  This record capture all domain fail login
15  Firewall Config Changes Detected Via Login  This report captures detected startup or running config changes - the changes are detected by logging into the device and hence is accurate.
16  Global Windows Groups Created  This report captures global group creations
17  Global Windows Groups Deleted  This report captures global group deletions
18  Global Windows Groups Modified  This report captures global group modifications
19  Local Windows Groups Created  This report captures local group creations
20  Local Windows Groups Deleted  This report captures local group This report captures local group deletions
21  Local Windows Groups Modified  This report captures local group Modification.
22  Local Windows User Account Changed  Track all change on local windows user accounts
23  Local Windows User Account Created  This report capture all local windows user account Creation
24  Local Windows User Account Deleted  This report capture local windows user account delectation.
25  Local Windows User Account Disable  Track local windows user account disabled
26  Local Windows User Account Enable  This report captures local windows user account enable .
27  Local Windows User/Group Name Changed  A windows User/Group name changed.
28  Microsoft DHCP Scope Created  A scope on Microsoft DHCP server created
29  Microsoft DHCP Scope Deleted  A scope from Microsoft DHCP server deleted.
30  Microsoft DHCP Exclusion IP Address Range Added  IP address exclusion range add on Microsoft DHCP
31  Microsoft DHCP Exclusion IP Address Range Deleted  IP address exclusion range delete from Microsoft DHCP
32  Microsoft DHCP Reserve IP Address Added  A reserve IP address added on Microsoft DHCP
33  Microsoft DHCP Reserve IP Address Delete  A reserve IP address on Microsoft DHCP deleted
34  Microsoft DHCP Service Started  Microsoft DHCP Service Started
35  Microsoft DHCP Service Stopped  Microsoft DHCP service has Stopped
36  Microsoft DNS Record Created  A record on your Microsoft DNS Created.
37  Microsoft DNS Records Deleted  A record deleted from Microsoft DNS
38  Microsoft DNS Records Modified  A record modified on Microsoft DNS
39  Microsoft DNS Service Started  Microsoft DNS service has started.
40  Microsoft DNS Service Stopped  Microsoft DNS service has stopped.
41  Microsoft DNS Zone Created  A zone on Microsoft DNS server Created
42  Microsoft DNS Zone Deleted  A zone deleted from Microsoft DNS Zones
43  Microsoft Domain Group Policy Objects Created  This report lists all of the created GPOs.
44  Microsoft Domain Group Policy Objects Deleted  This report lists all the deleted GPOs
45  Microsoft Domain Group Policy Objects Modified  This report lists all of the modified GPOs.
46  Microsoft Domain Organization Units Created  A user create a Organization Unit on Domain Controller.
47  Microsoft Domain Organization Units Deleted  A user delete a Organization Unit on Domain Controller
48  Microsoft Domain Organization Units Modified  A user modify a Organization Unit on Domain Controller.
49  Network Device Down/Restart  Tracks network device down and restart events
50  Network Device Interface Down/Up  Tracks network device interface down and up events
51  Phishing attempt found and remediated  Captures events that indicate phishing attempt
52  Privileged Windows Server Logon Attempts using the   Administrator Account  This report details privileged logon attempts to a windows server using the Administrator account
53  Remote Desktop Connections to Windows Servers  Windows RDP Logins to windows Server
54  Server Down/Restart  Tracks server down and restart events
55  Spyware found but not remediated by Host Antivirus  List of all Spyware that detect by Antivirus but not clean yet
56  Successful Database Server Logon Details  Captures successful database server logons
57  Successful Firewall Admin Logon Details  Details about successful firewall logons
58  Successful Login at Any Device  Captures detailed successful logins at any device or application including servers, network devices, domain controllers, VPN gateways, WLAN controllers and applications
59  Successful Windows Domain Authentications  This report track all successful login on your domain
60  Successful Network Device Admin Logon Details  Details about successful router logons
61  Top Antivirus and Security Gateways with Virus Found  Tracks IP addresses with Malware as found by Host Anti-virus and Security Gateways
62  Top Blocked Internal Destinations By Count  Ranks blocked Internal Destinations, Services Ranked By Connection Count
63  Top Blocked Internal Sources By Count  Ranks blocked Internal Sources, Services, Destinations Ranked By Connection Count
64  Top Database Events By Severity , Count  List of top events from Database sensor such as SQL, Oracle, ....
65  Top Filtered Inbound Spam By Count  Counts total inbound spam denied by spam filtering policy
66  Top Filtered Outbound Spam By Count  Counts total outbound spam denied by policy
67  Top Firewalls and Denied Inbound Traffic By Count  Ranks firewalls and permitted inbound services by first the total number of connections and then by bytes for that service
68  Top Firewalls and Denied Outbound Traffic By Count  Ranks firewalls and permitted outbound services by first the total number of connections and then by bytes for that service
69  Top Firewalls and Permitted Inbound Traffic By Count  Ranks firewalls and permitted inbound services by first the total number of connections and then by bytes for that service
70  Top Firewalls and Permitted Outbound Traffic By Count  Ranks firewalls and permitted outbound services by first the total number of connections and then by bytes for that service
71  Top Hosts Infected By Virus  List top hosts infected by virus detected by anti-virus
72  Top Mail Server Events By Severity , Count  Top events receive from Mail server Sensor such as Exchange
73  Top Network Attacks Detected By Count  Ranks the network attacks blocked by network IPS
74  Top Network Device Events By Severity , Count  List all events occurred on your network device by severity and count
75  Top Network IPS events By Severity, Count  Ranks the network IPS events by count
76  Unix/Linux Server Privileged Command Execution  This report details privilege command executions (sudo) at a Unix server
 77   Unix/Linux Server Privileged Logon  This report details UNIX server privileged logon (su) details with all parsed parameters and raw logs
78  Unix User Password Changed  Tracks password changes
79  Unix Users Added To Group  Tracks user additions to groups
80  Users Added to Windows Distribution Group  This report lists added members to security groups.
81  Users Added to Windows Local Groups  This report captures users added to local groups.
82  Users Added to Windows Security Group  This report lists added members to security groups.
83  Users Deleted from Distribution Windows User Groups  This report lists all removed members from distribution groups.
84  Users Deleted From Global Windows User Groups  This report captures users deleted from global or universal groups.
85  Users Deleted From Local Windows Users Groups  This report captures users deleted from local groups.
86  Users Deleted From Security Windows Users Groups  This report lists all removed members from security groups.
87  Virus Detected Details  All details about virus that detected by anti virus
88  Windows Distribution Groups Created  This reports shows all the created distribution groups.
89  Windows Distribution Groups Deleted  This reports shows all the deleted distribution groups.
90  Windows File Permission Modified  This report list all the file with modified permissions.
91  Windows Files/Folders Created  This report lists all the created files and folders.
92  Windows Files/Folders Deleted Or Moved  This report list all the deleted or moved files in servers. Use Source IP to limit the result.
93  Windows Files Modified  This report list all of the Modified files in servers. Use Source IP to limit the result.
94  Windows Firewall Reset to Default Setting  Windows firewall service reset to default setting
95  Windows Firewall Rule Deleted  A rule deleted from windows firewall service.
96  Windows Firewall Service has been Stopped  This report capture Windows Firewall Service has been Stopped
97  Windows Firewall Service has Started  Windows Firewall service has Started
98  Windows Security Groups Created  This reports shows all the created security groups.
99 Windows Security Groups Deleted  This reports shows all the deleted security groups