Active Directoryドメイン管理者の活動の監視

Windowsイベントログのフィルター処理と集計を検討する必要があると思います。 4624などの特定のイベントのフィルタリング、ユーザーの正常なログオンから始めることができます。 https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4624

各ドメイン管理者がログオンするときに監視以外に何もしなかった場合は、最も重要な異常の1つをすでに監視しています。これは、ユーザーが作業スケジュールを変更したときです。あなたの管理者が夜間やオーストラリアにいる場合を除き、私たちは彼が中国の労働時間で働くことを期待していません。

予算が大きい場合は、多くのセキュリティ情報およびイベント監視（「SIEM」）ベンダーの1つに行くだけです。

「違反を警告する」ことはお勧めしません。何が本当に重要なイベントを構成するかを知る前に、しばらくの間データを監視したいとします。

Microsoftにはツール Advanced Threat Analytics があり、まさにあなたが探しているものを実行します。

ADを監視するという問題は、あなたが抱えているように見える問題に付随しています。まず、記録して関係者に公開したいイベントです。したがって、誰もがシステムの正しい使い方と正しくない使い方、およびその役割の範囲を知っています。

キャプチャするイベントは、ビジネスおよびITリソースのガバナンスと整合している必要があります。 WindowsのセキュリティログとActive Directoryの変更を調べて問題を探すだけでは、ほとんど実りのない作業です。

ドメイン全体の管理レベルのアクセス許可（ドメイン管理者またはエンタープライズ管理者）へのアクセスを削除するために一丸となって取り組みましたか。ほとんどの管理者には権限は必要ありません。セキュリティへのアクセスを一元化し、管理者のアクティビティを可視化する必要がある場合は、管理者からの権限の適切な委任、発行、取り消しが必要です。

そして、上記に合わせて、徹底的なスクラブとオブジェクトに対する委任されたアクセス許可の検索は必須です。ほとんどの管理者が精通しているAD管理ツールでのオブジェクトへのこのような割り当ての可視性が低いと、この非常に大きなものを監視できます。

企業資産の運用上のセキュリティを強化するためのこれらの提案のほかに、セキュリティの観点から文書化を開始することをお勧めします。あなたが何を知りたいのか、そしてすべてを可視化し、測定可能にし、評判を悪くし、レビューなどを行うためにシステムと手順を保護し、監視し、開発する必要があるもの。

データが大量に流出しているため、セキュリティ、特にインサイダーベースのベクトルやアクターについては、フーバーや検索によって問題を解決することはできません。私の意見は、NSAに同意しないと確信しています。

Windows監査を有効にして、これらのアクティビティをフィルターできるオプションはありますか？

[はい] Log Parser 2.2 a tool from Microsoft を使用する必要があると思います

ログパーサーは、ログファイル、XMLファイル、CSVファイルなどのテキストベースのデータや、イベントログ、レジストリなどのWindows®オペレーティングシステムの主要なデータソースへのユニバーサルクエリアクセスを提供する強力で用途の広いツールです。ファイルシステム、およびActive Directory

この強力なツールの唯一の問題は、GUIがないことです。はい、それはマイクロソフトからですが、それはコマンドラインツールのみです:)。ただし、そのためのサードパーティのGUI（無料と商用の両方）を備えたGoogle itは数多くあり、そのGUIのサポートが見つかります。

さて、これはあなたの質問の簡単な部分、難しい部分です：

日常活動の異常を探し、違反時に警告を受ける

定義の異常と違反は何ですか？これは組織ごとに異なります。たとえば、週末の午前3時にADのアカウントへのアクセスを許可する管理者は、あなたの会社にとって異常な行動かもしれませんが、別の人にとっては楽しい行動です。

ほとんどのログまたはセキュリティイベントアナライザーツールは、探しているもの（イベントのパターンまたはシーケンス）を通知するために必要なクエリシステムであり、検索を試みます。クエリの結果に基づいて、セキュリティアナリストが違反かどうかを判断します。もちろん、それらのいくつかは、異常動作を定義するためのルールを作成できるようにすることができます。

イベントログ用のツールをまだ用意していない場合は、これが非常に役立ちます。従う必要があるイベントログと監視の要件があり、アラートが必要なものとログが必要なものを配布するのに役立ちます。 SolarwindsやLandguardなどのツールは非常に役立ちます。

ドメイン全体の管理レベルのアクセス許可（つまり、ドメイン管理者またはエンタープライズ管理者）へのアクセスを削除することは、検討すべきことです。また、アクセス許可はほとんどの管理者に必要ではなく、適切な委任、発行、管理者からのアクセス許可の取り消しは、セキュリティを一元化し、管理者のアクティビティを可視化する必要がある場合に同意します。

最初に私は言うべきです-私は彼らの製品を使用してインストールし、それらを好きであったことを除いて、この会社とはまったく関係がありません。

https://www.centrify.com/products/server-suite/ -ドメイン管理者を含む特権アカウントの使用状況を監視、警告、監査できるエンタープライズレベルのソリューションです。

特権ユーザーの監査について真剣に考えているなら、一見の価値があります。

代替ソリューションは、ドメインコントローラー（Active Directory）によって使用/作成されたリソースとログに関する検出ルールを設定できるホストベースの侵入検知システム（HIDS）を使用することです。ほとんどのHIDSソリューションでは、特定のしきい値に基づいてトリガーされるアラートを設定できます（つまり、10回失敗すると電子メールアラートが生成され、IT管理者に送信されます）。ドメインコントローラーの単なる検出を超えた一歩は、LSASS.exeなどのサービスをR/Wログに許可する最小アクセス権限のアクセス制御ポリシーを作成することにより、ホストベースの侵入防止システム（HIPS）を使用して予防的な予防を提供することです。 ntds.dit、他のファイルの中でも、他のプログラムに読み取り専用アクセスを提供します。シマンテックは、多くのセキュリティインテリジェンスを備えたHIDS/HIPSツールを提供します。この製品はSymantec Data Center Security：Server Advancedと呼ばれます。この分野の他のベンダーには、McAfee（Solid Core）やBit9などがあります（ただし、このツールはクライアントではなくサーバーに重点を置いています）。

OSSECを使用してサーバーを監視していますが、これは比較的うまく機能します。大きな利点は、LinuxとUNIXベースのシステムだけでなく、Windowsでも使用できることです。また、ログファイルに記録されている管理アクティビティを追跡するために使用できる独自のルールをフィルターにかけることもできます。