Surveillance des activités de l'administrateur de domaine Active Directory

Je pense que vous devriez envisager de filtrer et d'agréger les journaux des événements Windows. Vous pouvez commencer par filtrer des événements spécifiques, comme 4624, l'ouverture de session réussie d'un utilisateur: https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4624

Si vous ne deviez rien faire de plus que surveiller lorsque chaque administrateur de domaine se connecte, vous surveillerez déjà l'une des anomalies les plus importantes, c'est-à-dire lorsqu'un utilisateur modifie son horaire de travail. À moins que votre administrateur ne travaille la nuit ou ne soit en Australie, nous ne nous attendons pas à ce qu'il travaille en heures de travail chinois.

Si vous avez un budget important, rendez-vous simplement chez l'un des nombreux fournisseurs d'informations de sécurité et de surveillance des événements ("SIEM").

Je ne recommande pas "d'être alerté d'une violation". Vous allez vouloir regarder les données pendant un certain temps, avant de savoir ce qui constitue un événement vraiment important.

Microsoft dispose d'un outil, Advanced Threat Analytics , qui fait exactement ce que vous recherchez.

La question de la surveillance de la MA est accessoire au problème que vous semblez rencontrer. Premièrement, les événements que vous souhaitez capturer sont documentés et publiés aux personnes concernées. Ainsi, tout le monde sait quelle est l'utilisation correcte et incorrecte des systèmes, et la portée de leurs rôles.

Les événements que vous souhaitez capturer doivent être alignés sur la gouvernance des ressources commerciales et informatiques. Aller simplement dans les journaux de sécurité de Windows et les modifications d'Active Directory à la recherche de problèmes est surtout un exercice infructueux.

Avez-vous fait un effort concerté pour supprimer l'accès aux autorisations de niveau d'administration à l'échelle du domaine, à savoir Administrateur de domaine ou Administrateur d'entreprise. Les autorisations ne sont pas nécessaires pour la plupart des administrateurs et la délégation appropriée, l'émission, la révocation des autorisations des administrateurs s'ils ont besoin d'accéder à quelque chose centralisent la sécurité et apportent de la visibilité aux activités des administrateurs.

Et en phase avec ce qui précède, un nettoyage et une recherche exhaustifs des autorisations déléguées sur les objets sont indispensables. La mauvaise visibilité de telles affectations sur un objet dans les outils de gestion AD que la plupart des administrateurs connaissent peut laisser cet énorme absolu être surveillé.

Au-delà de certaines de ces suggestions pour renforcer la sécurité opérationnelle des actifs de l'entreprise, je vous suggère également de commencer à documenter d'un point de vue de la sécurité. Ce que vous voulez savoir et ce qui doit être sécurisé, suivi et développer les systèmes et les procédures pour que tout soit visible, mesurable, non réputé, révisé, etc.

Le déluge de données est énorme, résoudre le problème en aspirant et en recherchant n'est pas le moyen en matière de sécurité, en particulier les vecteurs et les acteurs basés sur les initiés. Mon avis, je suis sûr que le NSA n'est pas d'accord avec.

Existe-t-il une option permettant d'activer l'audit Windows et de filtrer ces activités?

[OUI] Je pense que vous devriez utiliser Log Parser 2.2 un outil de Microsoft et comme sa description le dit

L'analyseur de journaux est un outil puissant et polyvalent qui fournit un accès universel aux requêtes aux données textuelles telles que les fichiers journaux, les fichiers XML et les fichiers CSV, ainsi qu'aux principales sources de données sur le système d'exploitation Windows® telles que le journal des événements, le registre, le système de fichiers et Active Directory

Le seul problème avec cet outil puissant est le fait qu'il n'a pas d'interface graphique. Oui, c'est de Microsoft mais c'est un outil de ligne de commande uniquement :). Cependant, il existe de nombreux GUI tiers (à la fois gratuits et commerciaux) pour Google et vous trouverez le support GUI pour cela.

Maintenant, c'est la partie facile de votre question, la partie difficile qui est:

Recherche d'anomalies dans l'activité quotidienne et alerte sur une violation

Quelles sont les définitions d'anomalie et de violation, cela est différent d'une organisation à l'autre. Par exemple, l'administrateur qui accorde l'accès à un compte sur l'AD à 3h00 du matin le week-end peut être une action anormale pour votre entreprise, mais c'est amusant pour un autre.

La plupart des outils d'analyse des journaux ou des événements de sécurité ne sont qu'un système de requête dont vous avez besoin pour lui dire ce que vous recherchez (quel modèle ou séquence d'événements) et il essaiera de le trouver pour vous. En fonction du résultat de la requête, il appartient à l'analyste de sécurité de décider s'il s'agit d'une violation ou non. Bien sûr, certains d'entre eux peuvent vous permettre d'écrire des règles pour définir des actions d'anomalies.

Si vous n'avez pas déjà un outil en place pour la journalisation des événements, cela vous aiderait grandement. Il y a des exigences de journalisation et de surveillance des événements que vous devez suivre et qui vous seraient utiles pour diffuser ce sur quoi vous avez besoin d'alertes et ce qui doit être enregistré. Des outils tels que Solarwinds ou Landguard sont extrêmement utiles.

Supprimer l'accès aux autorisations de niveau d'administration à l'échelle du domaine, c'est-à-dire Administrateur de domaine ou Administrateur d'entreprise, est quelque chose que vous devriez envisager. Et je suis d'accord que les autorisations ne sont pas nécessaires pour la plupart des administrateurs et la délégation appropriée, l'émission, la révocation des autorisations des administrateurs s'ils ont besoin d'accéder à quelque chose qui centralise la sécurité et apporte de la visibilité aux activités des administrateurs.

Tout d'abord, je dois dire - je ne suis en aucun cas affilié à cette société, sauf que j'ai utilisé et installé leurs produits et que je les ai aimés.

https://www.centrify.com/products/server-suite/ - est une solution de niveau entreprise qui permet la surveillance, l'alerte et l'audit de l'utilisation des comptes privilégiés, y compris les administrateurs de domaine.

Vaut vraiment le détour si vous êtes sérieux au sujet de l'audit d'utilisateurs privilégiés.

La solution alternative pourrait être d'utiliser un système de détection d'intrusion (HIDS) basé sur l'hôte qui peut être défini avec des règles de détection autour des ressources et des journaux utilisés/créés par le contrôleur de domaine (Active Directory). La plupart des solutions HIDS peuvent vous permettre de configurer des alertes qui sont déclenchées en fonction de seuils spécifiques (c'est-à-dire qu'après 10 tentatives infructueuses, générez une alerte par e-mail et envoyez-la à l'administrateur du service informatique). Aller au-delà de la simple détection des contrôleurs de domaine consiste à fournir une prévention proactive à l'aide d'un système de prévention des intrusions basé sur l'hôte (HIPS) en créant des stratégies de contrôle d'accès avec privilèges d'accès minimal qui permettent à des services tels que LSASS.exe de consigner les journaux R/W, ntds.dit, entre autres fichiers, mais fournit un autre programme avec un accès en lecture seule. Symantec propose un outil HIDS/HIPS avec beaucoup de renseignements de sécurité prêts à l'emploi. Ce produit est appelé Symantec Data Center Security: Server Advanced. Les autres fournisseurs de cet espace incluent McAfee (Solid Core) et Bit9 (cependant, cet outil se concentre sur les clients et non pas tant sur les serveurs).

J'utilise OSSEC pour surveiller mes serveurs, ce qui fonctionne relativement bien. Le gros avantage est qu'il peut être utilisé aussi bien pour Windows que pour les systèmes basés sur Linux et Unix. Vous pouvez également fournir vos propres règles à filtrer qui pourraient être utilisées pour suivre l'activité administrative documentée dans les fichiers journaux.