it-swarm.com.de

Überwachen der Aktivitäten des Active Directory-Domänenadministrators

Ich muss die Aktivitäten des Active Directory-Domänenadministrators überwachen und Folgendes beachten:

  1. Auf der Suche nach Anomalien in der täglichen Aktivität

  2. Bei einem Verstoß alarmiert werden

Mein Problem ist, dass das Aktivieren der Windows-Überwachung in meiner Umgebung (über 100 Domänencontroller und 50.000 Benutzer) massive Sicherheitsereignisprotokolle generiert und nicht durchgesehen werden kann.

Gibt es eine alternative Lösung? Oder gibt es eine Option, bei der ich die Windows-Überwachung weiterhin aktivieren und nach diesen Aktivitäten filtern kann?

17
Fahmy Aziz

Ich denke, Sie sollten in Betracht ziehen, die Windows-Ereignisprotokolle zu filtern und zu aggregieren. Sie können zunächst nach bestimmten Ereignissen filtern, z. B. nach 4624, erfolgreicher Anmeldung eines Benutzers: https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4624

Wenn Sie bei der Anmeldung jedes Domänenadministrators lediglich überwachen, werden Sie bereits auf eine der wichtigsten Anomalien überwachen, wenn ein Benutzer seinen Arbeitsplan ändert. Sofern Ihr Administrator nicht nachts arbeitet oder sich in Australien befindet, erwarten wir nicht, dass er chinesische Arbeitszeiten hat.

Wenn Sie ein großes Budget haben, wenden Sie sich einfach an einen der vielen Anbieter von Sicherheitsinformationen und Ereignisüberwachung ("SIEM").

Ich empfehle nicht, "über einen Verstoß informiert zu werden". Sie werden eine Weile Daten beobachten wollen, bevor Sie wissen, was ein wirklich wichtiges Ereignis darstellt.

3
Douglas Held

Microsoft hat ein Tool, Advanced Threat Analytics , das genau das tut, wonach Sie suchen.

1

Die Frage der Überwachung von AD ist eine Ergänzung zu dem Problem, das Sie anscheinend haben. Erstens sind die Ereignisse, die Sie erfassen möchten, dokumentiert und für die relevanten Personen veröffentlicht. So weiß jeder, was die richtige und falsche Verwendung von Systemen ist und welchen Umfang ihre Rollen haben.

Die Ereignisse, die Sie erfassen möchten, sollten auf die Steuerung der Geschäfts- und IT-Ressourcen abgestimmt sein. Das einfache Aufrufen der Windows-Sicherheitsprotokolle und der Active Directory-Änderungen nach Problemen ist meist erfolglos.

Haben Sie konzertierte Anstrengungen unternommen, um den Zugriff auf domänenweite Berechtigungen auf Verwaltungsebene zu entfernen, z. B. Domain Admin oder Enterprise Admin? Die Berechtigungen sind für die meisten Administratoren und die ordnungsgemäße Delegierung, Erteilung und den Widerruf von Berechtigungen von Administratoren nicht erforderlich, wenn sie Zugriff auf etwas benötigen, das die Sicherheit zentralisiert und die Aktivitäten von Administratoren sichtbar macht.

In Übereinstimmung mit dem oben Gesagten ist ein umfassendes Scrub und die Suche nach delegierten Berechtigungen für Objekte ein Muss. Eine schlechte Sichtbarkeit solcher Zuweisungen für Objekte in den AD-Verwaltungstools, mit denen die meisten Administratoren vertraut sind, kann dazu führen, dass diese absolut große Aufgabe überwacht wird.

Abgesehen von einigen dieser Vorschläge zur Verschärfung der Betriebssicherheit der Vermögenswerte des Unternehmens kann ich auch vorschlagen, dass Sie mit der Dokumentation unter Sicherheitsgesichtspunkten beginnen. Was Sie wissen möchten und was die Sicherung, Überwachung und Entwicklung der Systeme und Verfahren erfordert, um alles sichtbar, messbar, nicht seriös, überprüft usw. zu machen.

Die Datenflut da draußen ist riesig. Die Lösung des Problems durch Staubsaugen und Suchen ist nicht der richtige Weg, wenn es um Sicherheit geht, insbesondere bei Insider-basierten Vektoren und Akteuren. Meiner Meinung nach bin ich mir sicher, dass die NSA nicht einverstanden sind).

1
jCisco

Gibt es eine Option, bei der ich die Windows-Überwachung weiterhin aktivieren und nach diesen Aktivitäten filtern kann?

[JA] Ich denke, Sie sollten Log Parser 2.2, ein Tool von Microsoft verwenden und wie in der Beschreibung angegeben

Der Protokollparser ist ein leistungsstarkes, vielseitiges Tool, das universellen Abfragezugriff auf textbasierte Daten wie Protokolldateien, XML-Dateien und CSV-Dateien sowie auf wichtige Datenquellen des Windows®-Betriebssystems wie das Ereignisprotokoll, die Registrierung, ermöglicht. das Dateisystem und Active Directory

Das einzige Problem mit diesem leistungsstarken Tool ist die Tatsache, dass es keine GUI hat. Ja, es ist von Microsoft, aber es ist nur ein Kommandozeilen-Tool :). Es gibt jedoch viele Drittanbieter-GUI dafür (sowohl kostenlos als auch kommerziell) Google it und Sie finden die GUI-Unterstützung dafür.

Dies ist der einfache Teil Ihrer Frage, der schwierige Teil:

Auf der Suche nach Anomalien in der täglichen Aktivität und Benachrichtigung über einen Verstoß

Was sind die Definitionen Anomalie und Verletzung, dies ist von Organisation zu Organisation unterschiedlich. Zum Beispiel und ein Administrator, der am Wochenende um 3:00 Uhr morgens Zugriff auf ein Konto in der AD gewährt, ist möglicherweise eine ungewöhnliche Aktion für Ihr Unternehmen, aber es macht einem anderen Spaß.

Die meisten Tools zur Analyse von Protokollen oder Sicherheitsereignissen sind nur ein Abfragesystem, mit dem Sie angeben müssen, wonach Sie suchen (welches Muster oder welche Abfolge von Ereignissen), und das versucht, es für Sie zu finden. Anhand des Ergebnisses der Abfrage muss der Sicherheitsanalyst entscheiden, ob dies ein Verstoß ist oder nicht. Natürlich können Sie mit einigen von ihnen Regeln schreiben, um Anomalienaktionen zu definieren.

1
Ubaidah

Wenn Sie noch kein Tool für die Ereignisprotokollierung haben, hilft Ihnen dies sehr. Es gibt Anforderungen an die Ereignisprotokollierung und -überwachung, die Sie befolgen sollten. Diese sind hilfreich, um zu verbreiten, worüber Sie Warnungen benötigen und was protokolliert werden muss. Tools wie Solarwinds oder Landguard sind äußerst hilfreich.

Das Entfernen des Zugriffs auf domänenweite Berechtigungen auf Verwaltungsebene, z. B. Domänenadministrator oder Unternehmensadministrator, sollten Sie prüfen. Und ich stimme zu, dass die Berechtigungen für die meisten Administratoren und die ordnungsgemäße Delegierung, Erteilung und den Widerruf von Berechtigungen von Administratoren nicht erforderlich sind, wenn sie Zugriff auf etwas benötigen, das die Sicherheit zentralisiert und die Aktivitäten von Administratoren sichtbar macht.

0
Suzette Leal

Erstens sollte ich sagen - ich bin in keiner Weise mit dieser Firma verbunden, außer ich habe ihre Produkte verwendet und installiert und mochte sie.

https://www.centrify.com/products/server-suite/ - ist eine Lösung auf Unternehmensebene, mit der die Verwendung privilegierter Konten einschließlich Domänenadministratoren überwacht, alarmiert und überwacht werden kann.

Auf jeden Fall einen Blick wert, wenn Sie es ernst meinen, privilegierte Benutzer zu prüfen.

0
secnerd

Die alternative Lösung könnte darin bestehen, ein Host-basiertes Intrusion Detection System (HIDS) zu verwenden, das mit Erkennungsregeln für die vom Domänencontroller (Active Directory) verwendeten/erstellten Ressourcen und Protokolle festgelegt werden kann. Mit den meisten HIDS-Lösungen können Sie Warnungen einrichten, die basierend auf bestimmten Schwellenwerten ausgelöst werden (d. H. Nach 10 fehlgeschlagenen Versuchen wird eine E-Mail-Warnung generiert und an den IT-Administrator gesendet). Ein Schritt über die reine Erkennung von Domänencontrollern hinaus besteht darin, eine proaktive Prävention mithilfe eines Host-basierten Intrusion Prevention-Systems (HIPS) bereitzustellen, indem Richtlinien für die Zugriffssteuerung mit geringsten Zugriffsrechten erstellt werden, mit denen Dienste wie LSASS.exe R/W-Protokolle erstellen können. ntds.dit, unter anderem Dateien, aber bieten anderen Programmen schreibgeschützten Zugriff. Symantec bietet ein sofort einsatzbereites HIDS/HIPS-Tool mit vielen Sicherheitsinformationen. Dieses Produkt heißt Symantec Data Center Security: Server Advanced. Andere Anbieter in diesem Bereich sind McAfee (Solid Core) und Bit9 (dieses Tool konzentriert sich jedoch auf Clients und weniger auf Server).

0
dandaman12

Ich verwende OSSEC, um meine Server zu überwachen, was relativ gut funktioniert. Der große Vorteil ist, dass es sowohl für Windows als auch für Linux- und Unix-basierte Systeme verwendet werden kann. Sie können auch Ihre eigenen Regeln zum Filtern bereitstellen, nach denen Sie die in den Protokolldateien dokumentierten Verwaltungsaktivitäten verfolgen können.

0
davidb