Monitoraggio delle attività di amministratore di dominio di Active Directory

Penso che dovresti prendere in considerazione il filtraggio e l'aggregazione dei registri eventi di Windows. Puoi iniziare filtrando per eventi specifici, come 4624, accesso riuscito di un utente: link

Se non dovessi fare altro che monitorare quando ciascun amministratore di dominio si connette, monitorerai già una delle anomalie più importanti, ovvero quando un utente modifica la pianificazione del lavoro. A meno che il tuo amministratore non lavori notti o sia in Australia, non ci aspettiamo che lavori negli orari di lavoro cinesi.

Se disponi di un budget elevato, passa a uno dei numerosi fornitori di Informazioni sulla sicurezza e Monitoraggio eventi ("SIEM").

Non consiglio "di essere allertato in caso di violazione". Dovrai guardare i dati per un po ', prima che tu sappia cosa costituisce un vero evento importante.

La questione del monitoraggio di AD è accessoria al problema che sembra avere. Innanzitutto sono gli eventi che desideri acquisire documentati e pubblicati alle persone interessate. Quindi tutti sanno qual è l'uso corretto e scorretto dei sistemi e l'ambito dei loro ruoli.

Gli eventi che si desidera acquisire dovrebbero essere allineati con la governance del business e delle risorse IT. Basta entrare nei registri di sicurezza di Windows e le modifiche alla directory attiva in cerca di problemi sono per lo più un esercizio infruttuoso.

Hai fatto uno sforzo concertato per rimuovere l'accesso alle autorizzazioni a livello di dominio a livello di dominio, ad es. amministratore di dominio o amministratore aziendale. Le autorizzazioni non sono necessarie per la maggior parte degli amministratori e la delega corretta, l'emissione, la revoca delle autorizzazioni dagli amministratori se dovessero aver bisogno di accedere a qualcosa che centralizzi la sicurezza e apporti visibilità alle attività degli amministratori.

E al passo con quanto sopra, uno scrub esauriente e la ricerca di permessi delegati sugli oggetti è un must. Una scarsa visibilità di tali compiti sugli oggetti negli strumenti di gestione di AD che la maggior parte degli amministratori potrebbe conoscere può far sì che questo enorme monitor venga monitorato.

Oltre ad alcuni di questi suggerimenti per rafforzare la sicurezza operativa delle risorse aziendali, posso anche suggerire di iniziare a documentare da un punto di vista della sicurezza. Cosa vuoi sapere e cosa è necessario proteggere e monitorare e sviluppare sistemi e procedure per renderlo tutto visibile, misurabile, non reputato, revisionato e così via.

Il diluvio di dati là fuori è enorme, risolvere il problema con l'aspirapolvere e la ricerca non è il modo in cui si parla di sicurezza, specialmente di vettori e attori interni. La mia opinione sono sicuro che la NSA non è d'accordo.

Microsoft ha uno strumento, Advanced Threat Analytics , che fa esattamente quello che stai cercando.

Is there an option where I can still turn on Windows Auditing and filter for these activities?

[YES] Penso che dovresti usare Log Parser 2.2 uno strumento di Microsoft e come dice la sua descrizione

Log parser is a powerful, versatile tool that provides universal query access to text-based data such as log files, XML files and CSV files, as well as key data sources on the Windows® operating system such as the Event Log, the Registry, the file system, and Active Directory

L'unico problema con questo potente strumento è il fatto che non ha una GUI. Sì, è da Microsoft, ma è solo uno strumento da riga di comando :). Tuttavia, ci sono molte GUI di terze parti (sia gratuite che commerciali) su Google e trovi il supporto per la GUI.

Questa è la parte facile della tua domanda, la parte difficile che è:

Looking for anomalies in daily activity and Getting alerted upon a violation

Quali sono le definizioni di anomalia e violazione, questo è diverso da un'organizzazione all'altra. Ad esempio, e l'amministratore che concede l'accesso a un account su AD alle 3:00 del fine settimana potrebbe essere un'azione anomala per la tua azienda, ma è divertente per un altro.

La maggior parte degli strumenti di analisi dei registri o degli eventi di sicurezza è solo un sistema di query che devi dire a quello che stai cercando (quale modello o sequenza di eventi) e cercherà di trovarlo per te. In base al risultato della query spetta all'analista della sicurezza decidere se si tratta di una violazione o meno. Certo, alcuni di essi possono consentire di scrivere regole per definire le azioni di anomalie.

La soluzione alternativa potrebbe essere quella di utilizzare un sistema di rilevamento delle intrusioni basato su host (HIDS) che può essere impostato con le regole di rilevamento attorno alle risorse e ai log utilizzati / creati dal controller di dominio (Active Directory). La maggior parte delle soluzioni HIDS consente di impostare avvisi attivati in base a soglie specifiche (ad esempio dopo 10 tentativi non riusciti di generare un avviso e-mail e inviarlo a IT sec admin). Andare oltre il semplice rilevamento per i controller di dominio è fornire prevenzione proattiva utilizzando un sistema di prevenzione delle intrusioni basato su host (HIPS) creando policy di controllo degli accessi con privilegi minimi che consentono servizi come LSASS.exe ai registri R / W, ntds.dit, tra gli altri file, ma fornisce un altro programma con accesso in sola lettura. Symantec offre uno strumento HIDS / HIPS con un sacco di informazioni sulla sicurezza immediatamente disponibili. Questo prodotto si chiama Symantec Data Center Security: Server Advanced. Altri fornitori in questo spazio includono McAfee (Solid Core) e Bit9 (tuttavia, questo strumento è focalizzato sui client e non su molti server).

Se non hai già uno strumento per la registrazione degli eventi, questo ti aiuterà molto. Esistono requisiti per la registrazione degli eventi e il monitoraggio che dovresti seguire per aiutarti a diffondere ciò di cui hai bisogno sugli avvisi e su cosa deve essere registrato. Strumenti come Solarwinds o Landguard sono estremamente utili.

Rimozione dell'accesso a permessi a livello di amministrazione a livello di dominio, ad esempio l'amministratore di dominio o l'amministrazione aziendale è qualcosa che dovresti esaminare. E sono d'accordo sul fatto che le autorizzazioni non sono necessarie per la maggior parte degli amministratori e la delega, l'emissione, la revoca delle autorizzazioni degli amministratori se dovessero aver bisogno di accedere a qualcosa che centralizza la sicurezza e apporti visibilità alle attività degli amministratori.

In primo luogo, dovrei dire - Non sono in alcun modo affiliato a questa azienda, tranne che ho usato e installato i loro prodotti e mi sono piaciuti.

link - è una soluzione di livello enterprise che consente il monitoraggio, la segnalazione e il controllo dell'utilizzo di account privilegiati incluso il dominio Gli amministratori.

Sicuramente vale la pena dare un'occhiata ai tuoi audaci utenti privilegiati.

Sto usando OSSEC per monitorare i miei server che funzionano in modo relativamente positivo. Il grande vantaggio è che può essere utilizzato sia per windows che per sistemi basati su linux und unix. Inoltre, puoi fornire le tue regole per filtrare quelle che potrebbero essere utilizzate per tenere traccia delle attività amministrative documentate nei file di log.