לעיתים קרובות נדרש מנהל אבטחת המידע (CISO) לבצע חקירת מחשב (Forensic) אשר מתקשרות למערך ה-Active Direcroty בארגון.
לאחרונה נתבקשתי לתת דעתי על ביצוע Audit לשרת Active Directory וניטור אירועים באמצעות מערכת SEIM/SOC.
להלן הדברים החשובים ביותר בניטור אבטחת מידע בסביבת Microsoft Active Directory:
1.Modification to a Group Policy Object
2. Permissions Change to an Organizational Unit
3. Group policy object links changed on an Organizational Unit
4. Organizational Unit deleted
5. Group Policy Object deleted
6. Trust relationships changed
7. (Membership change to privileged group (Enterprise Admins, etc
8. Domain audit policy changed
9. Domain account policy changed
10. New domain controller
11.Password Policies
12.Account Lockout Policy
בטרם הניטור, יש להפעיל את מערך ה-Audit ברמת ה-Domain Policy וה-Domian Controller Policy.
בנוסף לאנשים שבאמת איכפת מאבטחה -הייתי ממליץ ליישם את הפתרון מבית Manageengine או לשקול פתרון מקביל מבית ScriptLogic האיכותיים.
אין תגובות:
הוסף רשומת תגובה