活动目录

Active Directory事件源是域控制器安全日志的集合。域控制器的安全日志具有很大的鉴定价值,因为它们为域内的端点提供了身份验证事件。你们可以看到受监控事件列表在本文档结束时。

Active Directory安全日志对于InsightIdr的归因引擎和安全事件警报功能至关重要。这些日志允许InsightIdr跟踪非机器帐户的失败登录,例如jsmith.

Active Directory为域用户提供身份验证和管理事件。洞察平台dota2必威联赛可以从域控制器的安全日志中收集重要事件。您应该为组织中的每个域控制器添加一个活动目录(AD)事件源。

要设置Active Directory,您需要:

  1. 审查“在你开始之前”并注意任何要求。
  2. 选择一个数据收集方法并配置Active Directory以将数据发送到收集器。
  3. 如果您在您的环境中使用Azure,请阅读Azure的身份验证活动
  4. 验证配置是否有效。

此外:

  1. 排除常见问题疑难解答
  2. 查看列表被监控的事件

在你开始之前

准备收集Active Directory事件源:

  • 打开每个域控制器的收集器和Active Directory事件源之间的端口135、139和445。
  • 设置服务帐户并将其添加到域管理员组(这个文档说明如何设置服务帐户)。

域管理员帐户的替代方案

本文档详细信息配置Active Directory的不同方法.如果您不想将您的服务帐户添加到Domain Admins组中,除了NXLog之外,还有其他选项:Insight Agent和Non-Admin Domain Controller account。必威体育app登录

Active Directory事件源的配置选项

您可以使用不同的选项来收集域控制器安全日志:

WMI 必威体育app登录 NXLOG. WMI没有域管理帐户
最常用的 易于部署 对于少数域控制器来说,这是一个不错的选择 需要其他用户权限
域管理员帐户 非域管理员帐户 非域管理员帐户 非域管理员帐户
是否可以从安全日志中收集所有事件 只能收集特定事件吗 是否可以从安全日志中收集所有事件 是否可以从安全日志中收集所有事件
支持的 支持的 支持的 未提供支持

让我们回顾一下每种方法:

  • Windows Management Instrumentation (WMI)

这是最常用的方法。它需要使用域管理员帐户凭据。

使用WMI,收集器使用协议Windows管理实现连接到域控制器。然后它收集日志条目并将它们发送出去进行处理。

此方法允许您拔出所有安全日志。如果选择此方法,则可以遵循配置步骤本文档中列出了以下内容。

如果您愿意限制环境中的域管理员的数量,您可以查看以下的其他配置选项:Insight代理,NXLog或WMI,没有服务帐户。必威体育app登录

  • 必威体育app登录

防止与Insight Agent重复必威体育app登录

要收集域控制器安全日志事件,请使用Active Directory事件源或Insight代理。必威体育app登录使用两者都可能导致正在收集重复事件。

您可以将Insight代理配置为来收集这些事必威体育app登录件设置>必威体育app登录>域控制器事件

如果要使用Insight Agent,则需要在必威体育app登录所有域控制器上安装一个Agent。此方法不需要服务帐户。

使用这种方法的集合是有限的。只有Insight代理文档中列出的事件必威体育app登录正在处理。

如果选择此方法,则应查看此方法文档配置Insight Agent发送必威体育app登录附加日志。

  • NXLOG.

您可以在所有域控制器上安装Nxlog,然后将其配置为收集域控制器安全日志。

这是一个需要在所有域控制器上下载并安装的第三方工具。如果您不想设置服务帐户并具有很少的域控制器,则可能是一个很好的替代方案。

但是,如果您有很多域控制器,那么配置的要求可能会更高,因为您必须在每个域控制器上安装和配置它。

您可以按照以下步骤在中使用Nxlog配置Active Directory下面列出的步骤在本文档中。

  • WMI没有域管理帐户

Rapid7不支持此方法

Rapid7认识到客户可能希望创建具有有限权限的服务帐户,以便与InsightIdr一起使用。虽然我们提供了解释如何实现此服务帐户的说明,请注意,RAPIT7不支持此配置(我们的支持团队不提供设置它或故障排除的帮助)。

对于此方法,您需要更改域控制器上的权限以允许非域管理员帐户使用WMI访问安全日志。阅读文档对于非管理员域控制器帐户。

使用WMI配置域管理帐户

  1. 从您的仪表板,选择数据收集在左边的菜单上。
  2. 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源
  3. 从“安全数据”部分,单击活动目录图标。此时会出现“添加事件源”面板。
  4. 选择收集器和事件源。如果您愿意,您还可以命名您的活动源。
  5. 选择时区与事件源日志的位置匹配的。
  6. 选择发送无功率数据根据要监视的事件类型。未选择此选项后,Active Directory仅收集Insightidr认为对本是有价值的事件.选择此选项后,Active Directory会拔出整个日志。
  7. 选择WMI作为收集方法(WMI是标准集合方法)。
  8. 在“服务器”字段中,输入收集器能够达到的Active Director域控制器的完全限定域名(FQDN)。
  9. 在“用户域”字段中,输入此域控制器管理的用户域。如果有多个域,则需要设置每个域的一个事件源。
  10. 选择现有的域管理员凭据,或者(可选)创建新凭据
  11. 在“密码”字段中,输入Active Directory的密码。
  12. 选择节省

Active Directory使用哪些端口?

Active Directory使用端口134和445。请参阅Insutigridr使用的端口为更多的信息。

使用nxlog配置

如果您不想使用域管理员帐户从环境中收集Active Director日志事件,您可以配置NXLog以为您收集这些事件。

配置NXLog:

  1. 下载并安装nxlog。有关如何执行此操作的说明,请参阅NXLOG.页。
  2. 从InsightIDR仪表板中选择数据收集在左边的菜单上。
  3. 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源
  4. 从用户属性部分,单击活动目录图标。将出现“添加事件源”面板。
  5. 选择收藏家。
  6. 选择Microsoft Active Directory安全日志作为事件源,并给它一个描述性名称。
  7. 选择时区与事件源日志的位置匹配的。
  8. 单击侦听网络端口按钮。
  9. 在里面港口字段,输入您希望用于此事件源的端口。您无法使用已用于另一个事件源的端口。
  10. 对于协议,请使用UDP或TCP。尽管此事件源支持这两种协议,但请注意,必须将NXLog配置为使用您选择的协议发送日志。
  11. 点击节省
  12. 按照说明进行操作活动目录部分NXLOG.要编辑页面nxlog.conf收集安全日志并转发给InsightIDR。

Active Directory和Azure

Azure的身份验证活动

与公司网络一样,域控制器为Azure云域协调验证事件。

自我托管域控制器如果您在Azure中管理自己的域控制器,请按照上面的步骤使用WMI配置AD事件源。

Azure AD域服务如果您使用的是Azure AD域服务,则无法访问记录用户身份验证的安全日志。为了让InsutigridR摄取这些事件,必须从各个端点而不是集中域控制器检索它们。

安装洞察代理必威体育app登录在所有的Azure资产上,以检索所有身份验证活动。

Azure管理员活动

自我托管域控制器您可以通过使用WMI配置标准广告事件源来跟踪管理员活动。

Azure AD域服务此时,InsightIdr不支持Azure AD域服务的管理员活动跟踪。但是,您可以通过配置来实现部分覆盖范围微软Office 365事件来源。

验证配置

完成以下步骤来查看日志,并确保事件正在进入收集器:

  1. 单击InsightIDR左侧菜单中的“Data Collection”,导航到“Event Sources”页签。找到刚刚创建的新事件源并单击查看原始日志按钮。如果在框中看到日志消息,则显示日志正在流到收集器。
  2. 点击日志搜索在Insightidr的左侧菜单中。
  3. 选择适用的日志集和其中的日志名称。日志名称将是您给事件源的名称。

日志至少需要7分钟才能出现在“日志搜索”中

请注意,在设置事件源后,日志将在日志搜索中显示至少7分钟。如果在等待几分钟后选择查看事件源时查看原始日志的日志搜索后的日志消息,则在等待几分钟后显示,则您的日志与此事件的推荐格式和类型不匹配来源。

由Active Directory事件源监视的身份验证事件

这是使用WMI收集方法时默认收集的事件列表,因为InsightIDR认为这些事件在取证上很有用。若要收集更多事件,请检查发送未解析数据选择虽然将Active Directory配置为事件源

被监控的活动

拉动以下事件代码。确保您的域控制器记录所有这些事件:

活动代码

类别

子类别

描述

1102

非审计(事件日志)

日志清除

日志含义清除审计日志。

4624

登录/注销

审计登录

已成功登录一个帐户。

4625

登录/注销

审计登录

一个帐户登录失败。

4648

登录/注销

审计登录

试图使用显式凭据登录。

4704

政策改变

审计授权政策变更

分配用户权限。

4720

账户管理

审核用户帐户管理

创建了一个用户帐户。

4722

账户管理

审核用户帐户管理

已启用用户帐户。

4724

账户管理

审核用户帐户管理

尝试重置帐户的密码。

4725

账户管理

审核用户帐户管理

用户帐户已禁用。

4728

账户管理

安全组管理

已将成员添加到启用安全性的全局组。

4732

账户管理

安全组管理

将成员添加到启用安全的本地组。

4738

账户管理

审核用户帐户管理

用户帐户已更改。

4740

账户管理

审核用户帐户管理

一个用户帐户被锁定。

4741

账户管理

审计计算机帐户管理

创建了一个计算机帐户。

4756

账户管理

审计安全组管理

已将成员添加到启用安全性的通用组。

4767

账户管理

审核用户帐户管理

用户帐户已解锁。

4768

帐户登录

Kerberos身份验证服务

请求Kerberos身份验证票证(TGT)。

4769

帐户登录

Kerberos服务票务操作

已请求Kerberos服务票证。

检查您是否从Active Directory获取活动

下面的部分通过了您可以从Active Directory获取的事件数量。

您也可以回顾故障排除文档.它解释了如何检查Active Directory是否正确地获取事件。

何时发送Active Directory的未解析日志

在配置期间,可以根据要监视的事件类型选择发送未解析的数据。

来自Microsoft的本文档有Active Directory可以监视的完整事件列表:https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor.有许多不同的事件可以记录到安全日志中。并不是所有的方法都能满足你的需要。事件如何进入安全日志取决于您如何配置审计策略以及域的繁忙程度。

如果您的域上的审计是非常细粒度的,那么更多的事件将被写入域控制器安全日志。如果您的域上的审计不是非常细粒度的,那么进入域控制器安全日志的事件就会更少。你可以使用微软文档中的说明修改域控制器的高级审计策略:https://docs.microsoft.com/en-us/defender-for-identity/configure-windows-event-collection

安全日志的访问量也取决于域的繁忙程度。如果是一个大的域,域控制器会非常繁忙。对于他们来说,将数以百万计的事件写入安全日志并不罕见。

提示:考虑从Active Directory获取未解析的数据

默认情况下,InsightIDR只会从事件源中获取最有价值的事件。但是,对于Active Directory的特殊情况,根据您的审计策略和域的繁忙程度,您可能希望考虑获取未解析的数据,以获取所有可用的事件。