Данная статья рассматривает применение System Center Operation Manager 2007R2/2012 в качестве
инструмента помогающего проводить аудит информационной безопасности без использования роли Audit Сollection Service (ACS).
Предположим, заказчику требуется определить внутренних сотрудников, которые
злоупотребляют полномочиями и дают
подчиненным права Domain Admins.
Реализация решения основана на сборе журналов (Event Log) и выборке определенных событий аудита, передаче данных на консоль оператора SCOM
Реализация решения основана на сборе журналов (Event Log) и выборке определенных событий аудита, передаче данных на консоль оператора SCOM
Преимущества метода позволяют выбирать данные
из журнала ОС – Event Viewer – Windows logs – Security одновременно со всей группы объектов Domain Controller. Полученная информация поступает в Operation Manager и
данные предоставляются и хранятся централизованно.
Задачу также можно решить встроенным
сборщиком Windows Event Collector Service.
Но! У нас же есть SCOM!
Предлагаю использовать его универсальность.
Решение
- Включение требуемого уровня аудита на контроллерах домена
- Создание правила в новом Management pack
- Проверка монитора
1. Первое, что надо сделать это включить аудит на
контроллерах домена, если этого не было сделано ранее. Изначально Audit Directory Service Access audit не
включен. Эта статья содержит подробные
инструкции.
Воспользуемся командной строкой, запустив cmd c правами администратора.
auditpol
/set /subcategory:"directory service changes" /success:enable
Но централизованно лучше сделать отдельный объект GPO и слинковать его с ”OU=Domain Controllers”
1. Click Start, point to Administrative
Tools, and then Group Policy Management.
2. In the console tree, double-click the name of the forest, double-click Domains, double-click the name of your domain, double-click Domain Controllers, right-click Default Domain Controllers Policy, and then click Edit.
3. Under Computer Configuration, double-click Policies, double-click Windows Settings, double-click Security Settings, double-click Local Policies, and then click Audit Policy.
4. In the details pane, right-click Audit directory service access, and then click Properties.
5. Select the Define these policy settings check box.
6. Under Audit these attempts, select the Success, check box, and then click OK.
2. In the console tree, double-click the name of the forest, double-click Domains, double-click the name of your domain, double-click Domain Controllers, right-click Default Domain Controllers Policy, and then click Edit.
3. Under Computer Configuration, double-click Policies, double-click Windows Settings, double-click Security Settings, double-click Local Policies, and then click Audit Policy.
4. In the details pane, right-click Audit directory service access, and then click Properties.
5. Select the Define these policy settings check box.
6. Under Audit these attempts, select the Success, check box, and then click OK.
Проверим:
gpupdate /force
auditpol
/get /category:"ds access"
Включаем аудит в свойствах наблюдаемого объекта. Настраиваем SACL. В нашем случае это "OU=Domain Controllers"
С контроллерами на этом все,
далее переходим к SCOM console
- Click Start, point to Administrative Tools, and then click Active Directory Users and Computers.
- Right-click the organizational unit (OU) (or any object) for which you want to enable auditing, and then click Properties.
- Click the Security tab, click Advanced, and then click the Auditing tab.
- Click Add, and under Enter the object name to select, type Authenticated Users (or any other security principal), and then click OK.
- In Apply onto, click Descendant User objects (or any other objects).
- Under Access, select the Successful check box for Write all properties.
- Click OK until you exit the property sheet for the OU or other object.
2. Открываем SCOM Console –> Authoring –>
Management Pack Objects –> Rules –> Create a New Rule
Основа создаваемого правила это ALERT который создается определенным Event ID в журнале Security log контроллера домена. В нашем случае это Event ID 4728 для Windows Server R2 DC.
Создаем правило на
основе шаблона Alert Generated Rules – Event
based – NT Event Log (Alert). Описание
правила сохраняем под новым MP
Rule Target – Windows Domain Controller
Конфигурируем условия для выборки событий из Event Log - Security
Event ID – Equals – 4728 "A member was added to a security-enabled global group"
Parameter 3 – Equals – Domain Admins
3. Проверка
В оснастке Acitve Directory
Users and Computers добавляем
в группу Domain Admins тестового пользователя.
Смотрим Security Event Log на контроллере домена.
Как сообщение появляется в SCOM Console
Интерпретируя сообщение, можно утверждать, что пользователь ts-mdanilovadm добавил в группу Domain Admins Сидорова Ивана. Полученная информация используется ИТ-персоналом для дальнейшего расследования инцидента.
Комментариев нет:
Отправить комментарий