La questione del monitoraggio di AD è accessoria al problema che sembra avere. Innanzitutto sono gli eventi che desideri acquisire documentati e pubblicati alle persone interessate. Quindi tutti sanno qual è l'uso corretto e scorretto dei sistemi e l'ambito dei loro ruoli.
Gli eventi che si desidera acquisire dovrebbero essere allineati con la governance del business e delle risorse IT. Basta entrare nei registri di sicurezza di Windows e le modifiche alla directory attiva in cerca di problemi sono per lo più un esercizio infruttuoso.
Hai fatto uno sforzo concertato per rimuovere l'accesso alle autorizzazioni a livello di dominio a livello di dominio, ad es. amministratore di dominio o amministratore aziendale. Le autorizzazioni non sono necessarie per la maggior parte degli amministratori e la delega corretta, l'emissione, la revoca delle autorizzazioni dagli amministratori se dovessero aver bisogno di accedere a qualcosa che centralizzi la sicurezza e apporti visibilità alle attività degli amministratori.
E al passo con quanto sopra, uno scrub esauriente e la ricerca di permessi delegati sugli oggetti è un must. Una scarsa visibilità di tali compiti sugli oggetti negli strumenti di gestione di AD che la maggior parte degli amministratori potrebbe conoscere può far sì che questo enorme monitor venga monitorato.
Oltre ad alcuni di questi suggerimenti per rafforzare la sicurezza operativa delle risorse aziendali, posso anche suggerire di iniziare a documentare da un punto di vista della sicurezza. Cosa vuoi sapere e cosa è necessario proteggere e monitorare e sviluppare sistemi e procedure per renderlo tutto visibile, misurabile, non reputato, revisionato e così via.
Il diluvio di dati là fuori è enorme, risolvere il problema con l'aspirapolvere e la ricerca non è il modo in cui si parla di sicurezza, specialmente di vettori e attori interni. La mia opinione sono sicuro che la NSA non è d'accordo.