資安監控- 監控 AD 的受駭跡證

本篇文章介紹Windows Event Log中的類型與稽核原則。後續並介紹建議設定的稽核原則內容與監控的方向。

介紹

資安監控可以有效的發現場域內需要注意的事項，在組織內部的監控設備中，AD上的Event Log是絕對不可少的，從Windows 2008跟Vista開始，Windows 提供了以下 9 種 Event log 類型。

• Account Logon Events
• Account Management
• Directory Service Access
• Logon Events
• Object Access
• Policy Change
• Privilege Use
• Process Tracking
• System Events

使用 Auditpol.exe 設定 Windows 稽核原則

依微軟的說明，Auditpol.exe 較能正確回傳稽核原則的設定值。

參考以下指令，可列出所有稽核原則設定值。

auditpol /get /category:\*

參考以下指令，可設定logon的稽核原則內容。

auditpol /set /subcategory:"logon" /success:enable /failure:enable

使用 Group policy 設定稽核原則

開啟群組原則設定，開到以下的路徑，將想要開啟的稽核原則開啟即可。

Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy

Local Group Policy Editor

微軟建議的稽核原則設定

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations

在監控上常用到的幾個Event ID

除了微軟建議監的 Event ID中的說明外，特別列出以下實務上常用的幾個Event ID。

• 21
• 4624
• 4625
• 4688
• 5156

延伸閱讀

• Windows Event Log位置
• IIS log 位置
• 使用powershell查找電腦開關機狀況

參考資料

1. https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/monitoring-active-directory-for-signs-of-compromise
2. Windows Audit Policy
3. Configuring Windows Audit Policy
4. Enforcing Traditional Auditing or Advanced Auditing