資安監控- 監控 AD 的受駭跡證
目錄
本篇文章介紹Windows Event Log中的類型與稽核原則。後續並介紹建議設定的稽核原則內容與監控的方向。
介紹
資安監控可以有效的發現場域內需要注意的事項,在組織內部的監控設備中,AD上的Event Log是絕對不可少的,從Windows 2008跟Vista開始,Windows 提供了以下 9 種 Event log 類型。
- Account Logon Events
- Account Management
- Directory Service Access
- Logon Events
- Object Access
- Policy Change
- Privilege Use
- Process Tracking
- System Events
使用 Auditpol.exe 設定 Windows 稽核原則
依微軟的說明,Auditpol.exe 較能正確回傳稽核原則的設定值。
參考以下指令,可列出所有稽核原則設定值。
auditpol /get /category:\*
參考以下指令,可設定logon的稽核原則內容。
auditpol /set /subcategory:"logon" /success:enable /failure:enable
使用 Group policy 設定稽核原則
開啟群組原則設定,開到以下的路徑,將想要開啟的稽核原則開啟即可。
Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy
Local Group Policy Editor
微軟建議的稽核原則設定
在監控上常用到的幾個Event ID
除了微軟建議監的 Event ID中的說明外,特別列出以下實務上常用的幾個Event ID。
- 21
- 4624
- 4625
- 4688
- 5156