我需要监视 Active Directory 域管理员活动并查找以下内容:
寻找日常活动中的异常情况
收到违规通知
我的问题是在我的环境(超过 100 个域控制器和 50,000 个用户)中打开 Windows 审核会生成大量安全事件日志,并且无法对其进行筛选。
有替代解决方案吗?或者是否有一个选项我仍然可以打开 Windows 审核并过滤这些活动?
我需要监视 Active Directory 域管理员活动并查找以下内容:
寻找日常活动中的异常情况
收到违规通知
我的问题是在我的环境(超过 100 个域控制器和 50,000 个用户)中打开 Windows 审核会生成大量安全事件日志,并且无法对其进行筛选。
有替代解决方案吗?或者是否有一个选项我仍然可以打开 Windows 审核并过滤这些活动?
我认为您应该考虑过滤和聚合 Windows 事件日志。您可以从过滤特定事件开始,例如 4624、用户成功登录:https ://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4624
如果您只是在每个域管理员登录时进行监控,那么您已经在监控最重要的异常之一,即用户更改其工作计划的时间。除非您的管理员在晚上工作或在澳大利亚,否则我们不希望他在中国工作时间工作。
如果您有大量预算,只需前往众多安全信息和事件监控 (“SIEM”) 供应商之一。
我不建议“收到违规警告”。在你知道什么是真正重要的事件之前,你会想观察一段时间的数据。
监控 AD 的问题是您似乎遇到的问题的辅助问题。首先是您希望记录并发布给相关人员的事件。所以每个人都知道系统的正确和错误用法,以及他们的角色范围。
您要捕获的事件应与业务和 IT 资源的治理保持一致。简单地进入 Windows 安全日志和 Active Directory 更改寻找问题通常是徒劳的。
您是否齐心协力删除对域范围管理级别权限的访问,即域管理员或企业管理员。大多数管理员不需要权限,并且如果他们需要访问集中安全性并为管理员活动带来可见性的权限,则可以适当地委派、颁发、撤销管理员的权限。
在上述步骤中,必须进行彻底的清理和搜索对象的委派权限。在大多数管理员熟悉的 AD 管理工具中,对对象的此类分配的可见性较差,可以让这个绝对巨大的工具被监控。
除了这些加强公司资产运营安全的建议之外,我还建议您从安全的角度开始记录。你想知道什么,什么需要保护、监控和开发系统和程序,以使其全部可见、可衡量、不可信誉、审查等等。
那里的数据泛滥是巨大的,在安全性方面,尤其是基于内部人员的向量和参与者,通过搜索和搜索来解决问题并不是办法。我的观点我确信美国国家安全局不同意。
Microsoft 有一个工具Advanced Threat Analytics可以满足您的需求。
是否有一个选项可以让我仍然打开 Windows 审核并筛选这些活动?
[YES] 我认为你应该使用Microsoft 的工具 Log Parser 2.2,正如它的描述所说
日志解析器是一个强大的多功能工具,它提供对基于文本的数据(如日志文件、XML 文件和 CSV 文件)以及 Windows® 操作系统上的关键数据源(如事件日志、注册表、文件系统和 Active Directory
这个强大工具的唯一问题是它没有 GUI。是的,它来自 Microsoft,但它只是一个命令行工具 :)。然而,它有很多第三方 GUI(免费和商业)谷歌它,你会发现它的 GUI 支持。
现在,这是您问题的简单部分,困难部分是:
寻找日常活动中的异常情况并在违规时收到警报
异常和违规的定义是什么,这因组织而异。例如,管理员在周末凌晨 3:00 授予对 AD 帐户的访问权限可能对您的公司来说是异常行为,但对另一家公司来说却很有趣。
大多数日志或安全事件分析工具只是一个查询系统,您需要告诉它您在寻找什么(哪种模式或事件序列),它会尝试为您找到它。根据查询的结果,由安全分析师决定这是否是违规行为。当然,其中一些可以让您编写规则来定义异常操作。