O registro de segurança do Windows, que você pode encontrar em Visualizador de eventos, registra o usuário crítico
ações como logons e logoffs, gerenciamento de contas, acesso a objetos e muito mais. A Microsoft descreve o registro de segurança do Windows como “sua melhor e última defesa”, e com razão tão. O log de segurança ajuda a detectar possíveis problemas de segurança, garante a responsabilidade do usuário, e serve como prova durante violações de segurança.
O que torna um event ID do Windows crítico?
Entre a infinidade de eventos de segurança do Windows, os poucos que podem ser considerados críticos podem
ser amplamente classificado em dois grupos:
- Eventos cuja única ocorrência indica atividade maliciosa. Por exemplo, uma conta normal do usuário final sendo adicionada inesperadamente a um grupo de segurança confidencial.
- Eventos cuja ocorrência sucessiva acima de uma linha de base aceita indica mal-intencionado atividade. Por exemplo, um número anormalmente grande de logons com falha.
Logon e Logoff
4624 – Esse evento é gerado quando uma sessão de logon é criada (no computador de destino). Ele gera no computador que foi acessado, onde a sessão foi criada.
4625 – Esse evento gera se uma tentativa de logon de conta falhou quando a conta já estava bloqueada. Ele também gera para uma tentativa de logon após a qual a conta foi bloqueada. Ele gera no computador onde a tentativa de logon foi feita, por exemplo, se a tentativa de logon tiver sido feita na estação de trabalho do usuário, o evento será registrado nesta estação de trabalho.
Account Management
4728 – Um membro foi adicionado a um grupo global habilitado para segurança. Global significa que o grupo pode receber acesso em qualquer domínio de confiança, mas só pode ter membros de seu próprio domínio. Este evento é registrado apenas em controladores de domínio. O Server 2016 adiciona o campo “Tempo de expiração” na versão 2 deste evento.
4732 – Esse evento gera sempre que um novo membro foi adicionado a um grupo local habilitado para segurança.
4756 – Um membro foi adicionado a um grupo universal habilitado para segurança. Quando objetos do Active Directory, como um usuário/grupo/computador, são adicionados a um grupo de segurança universal, a ID de evento 4756 é registrada. Isso pode caracterizar abuso de privilégios.
4740 – Geralmente é disparado pela conta SYSTEM, recomendamos que você monitore esse evento e relate-o sempre que Assunto/ID de segurança não for “SYSTEM”.
Eventlog
1102 – Sempre que o log de auditoria de segurança do Windows é apagado. Normalmente, não há necessidade de limpeza manual do log de eventos, portanto, a ocorrência desse evento deve ser investigada posteriormente.
Object Access
4663 – Um objeto (arquivo ou diretório) tem uma tentativa de acesso feita. O acesso pode ser para ler, editar, obter ou definir atributos ao objeto. Para esse evento, o Data ONTAP audita apenas a primeira leitura SMB e a primeira operação de gravação SMB (sucesso ou falha) em um objeto. Isso evita que o Data ONTAP crie entradas de log excessivas quando um único cliente abre um objeto e executa muitas operações sucessivas de leitura ou gravação no mesmo objeto.
Protegendo o Active Directory
Em primeiro lugar, você precisa configurar sua política de auditoria para que o Windows possa registrar o eventos relevantes no log de segurança. Em seguida, você precisa agregar e analisar os logs e, em seguida, traduz essas descobertas em informações acionáveis, como relatórios e alertas. Usando ferramentas nativas e scripts do PowerShell para completar essas tarefas exigem experiência e muito Tempo. Para realizar o trabalho com rapidez e eficiência, uma ferramenta de terceiros é realmente indispensável.
Com relatórios detalhados, alertas em tempo real e exibições gráficas, ADAudit Plus simplifica o monitoramento contínuo de logins e logoffs, alterações de membros do grupo, registro de eventos compensação, bloqueios de contas, servidores de arquivos e muito mais em seu Active Directory, servidores membros e estações de trabalho.
Nota: Embora muito cuidado tenha sido tomado para preparar este documento, não oferecemos garantias seja o que for com relação a este documento, incluindo, mas não se limitando à precisão de qualquer informações nele contidas.
ACS Pro Revendedor Autorizado ManageEngine e Zoho no Brasil.
Fone / WhatsApp (11) 2626-4653.
