UTMStack: интеграция аудита AD
Я пытаюсь включить интеграцию аудита AD, но получаю сообщение об ошибке «События Windows не регистрируются».
У меня установлен агент на контроллере домена, на который я указываю, и я вижу, что журналы winlogbeats поступают нормально.
1 ответ
Необходимо включить аудит изменений службы каталогов.
Используйте следующие команды:
Получить текущие настройки аудита:
auditpol /get /category:*
Убедитесь, что расширенный аудит включен:
reg query HKLM\System\CurrentControlSet\Control\LSA /v SCENoApplyLegacyAuditPolicy
Включите аудит изменений службы каталогов:
Изменения в службе каталогов аудита
https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-directory-service-changes
Конфигурация аудита AD
https://docs.utmstack.com/books/ad-auditor/page/ad-audit
Обратите внимание, что аудит также необходимо включить для самих объектов AD. Обычно это означает добавление списка контроля доступа к системе (SACL) в корне иерархии объектов, определяющего, что изменения и удаления проверяются. Их следует добавить в корень домена в разделе «Пользователи и компьютеры AD» (dsa.msc) и в корень контейнера конфигурации сайтов в разделе «Сайты и службы AD» (dssite.msc).
Если все настроено правильно, в журнале событий безопасности должно быть множество событий изменений (идентификатор события 5136), поскольку объекты часто изменяются во время нормальной работы. Вы также можете протестировать создание/удаление объектов, чтобы создать события 5137 и 5141 соответственно.