活动目录

Active Directory事件源是域控制器安全日志的集合。域控制器的安全日志具有很大的鉴定价值,因为它们为域内的端点提供了身份验证事件。你们可以看到监控事件列表在本文档结束时。

活动目录安全日志对于InsightIDR的属性引擎和安全事故警报功能至关重要。这些日志允许InsightIDR跟踪非机器帐户的失败登录,例如又该

Active Directory为域用户提供身份验证和管理事件。洞察平台dota2必威联赛可以从域控制器的安全日志中收集重要事件。您应该为组织中的每个域控制器添加一个活动目录(AD)事件源。

要设置Active Directory,您需要:

  1. 审查“在你开始之前”并注意任何要求。
  2. 选择一个数据收集方法并配置Active Directory以将数据发送到收集器。
  3. 如果您正在您的环境中使用Azure,请阅读以下内容Azure的身份验证活动
  4. 验证配置是否有效。

另外

  1. 排除常见问题
  2. 参见监控事件

在你开始之前

准备收集Active Directory事件源:

  • 为每个域控制器打开采集器和Active Directory事件源之间的135、139和445端口。
  • 设置一个服务帐户并将其添加到域管理员组(这个文档说明如何设置服务帐户)。

替代域管理帐户

该文档详细描述了配置Active Directory的不同方法.如果您不想将您的服务帐户添加到Domain Admins组中,除了NXLog之外,还有其他选项:Insight Agent和Non-Admin Domain Controller account。必威体育app登录

Active Directory事件源的配置选项

您可以使用不同的选项来收集域控制器安全日志:

WMI 必威体育app登录 NXLOG. WMI没有域管理帐户
最常用的 易于部署 对于少数域控制器来说,这是一个不错的选择 需要其他用户权限
域管理员帐户 无域管理帐户 无域管理帐户 无域管理帐户
是否可以从安全日志中收集所有事件 只能收集特定事件吗 是否可以从安全日志中收集所有事件 是否可以从安全日志中收集所有事件
支持 支持 支持 没有提供支持

让我们回顾一下每一种方法:

  • Windows Management Instrumentation (WMI)

这是最常用的方法。它需要使用域管理员帐户凭据。

使用WMI,收集器使用协议Windows管理实现连接到域控制器。然后它收集日志条目并将它们发送出去进行处理。

此方法允许您拔出所有安全日志。如果选择此方法,则可以遵循配置步骤在本文档中列出。

如果您希望限制环境中域管理员的数量,可以查看下面的其他配置选项:没有服务帐户的Insight Agent、Nxlog或WMI。必威体育app登录

  • 必威体育app登录

防止与Insight Agent重复必威体育app登录

要收集域控制器安全日志事件,请使用Active Directory事件源或Insight代理。必威体育app登录使用两者可能会导致正在收集重复事件。

您可以将Insight代理配置为收集这些事件必威体育app登录设置>必威体育app登录>域控制器事件

如果要使用Insight Agent,则需要在必威体育app登录所有域控制器上安装一个Agent。此方法不需要服务帐户。

使用这种方法的集合是有限的。只有Insight Agent文档中列出的事件必威体育app登录处理。

如果你选择这个方法,你应该复习文档配置Insight Agent发送必威体育app登录附加日志。

  • NXLOG.

您可以在所有域控制器上安装Nxlog,然后将其配置为收集域控制器安全日志。

这是一个需要下载并安装在所有域控制器上的第三方工具。如果您不希望设置服务帐户并具有很少的域控制器,则可以是一个很好的替代方案。

但是,如果您有很多域控制器,那么对它的配置要求会更高,因为您必须在每个域控制器上安装和配置它。

在Nxlog中配置Active Directory下面列出的步骤在本文件中。

  • WMI没有域管理帐户

Rapid7不支持此方法

Rapid7认识到客户可能希望创建具有有限权限的服务帐户,以便与InsightIdr一起使用。虽然我们提供了解释如何实现此服务帐户的说明,请注意RAPIT7不支持此配置(我们的支持团队不提供援助以设置它或排除故障)。

对于这种方法,您需要更改域控制器上的权限,以允许非域管理帐户使用WMI访问安全日志。读了文档对于非管理员域控制器帐户。

使用WMI配置域管理帐户

  1. 从仪表板中,选择数据收集在左边的菜单上。
  2. 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源码
  3. 从“安全数据”部分,单击活动目录图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,还可以命名事件源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择发送无双工数据根据要监视的事件类型。未选择此选项后,Active Directory仅收集InsightIDR认为具有法律价值的事件.选中此选项后,Active Directory将提取整个日志。
  7. 选择WMI随着收集方法(WMI是标准集合方法)。
  8. 在“服务器”字段中,输入采集器能够访问的Active Directory域控制器的完全限定域名(FQDN)。
  9. 在“用户域”字段中,输入此域控制器管理的用户域。如果有多个域,则需要每个域设置一个事件源。
  10. 选择现有域管理员凭据,或可选创建一个新的凭证
  11. 在“Password”字段中,输入Active Directory的密码。
  12. 选择节省

Active Directory使用哪些端口?

Active Directory使用端口134和445。看到Insutigridr使用的端口为更多的信息。

配置与NXLog

如果您不想使用Domain Admin帐户从您的环境中收集Active Directory日志事件,您可以配置NXLog来为您收集这些事件。

配置NXLog:

  1. 下载并安装nxlog。有关如何执行此操作的说明,请参阅NXLOG.页。
  2. 从InsightIDR仪表板中选择数据收集在左边的菜单上。
  3. 出现“数据收集”页面时,单击“设置事件源下拉选择添加事件源码
  4. 在User Attribution部分中,单击活动目录图标。将出现“添加事件源”面板。
  5. 选择你的收集器。
  6. 选择Microsoft Active Directory安全日志作为事件源,并给它一个描述性名称。
  7. 选择时区与事件源日志的位置匹配。
  8. 单击监听网络端口按钮。
  9. 在里面港口字段,输入您希望用于此事件源的端口。不能将已用于其他事件源的端口使用。
  10. 协议选择UDP或TCP。虽然此事件源支持两种协议,但请注意NXLog必须配置为使用您选择的协议发送日志。
  11. 点击节省
  12. 按照手册中的说明去做活动目录部分的NXLOG.页来编辑nxlog.conf收集安全日志并转发给InsightIDR。

Active Directory和Azure

Azure的身份验证活动

与公司网络一样,域控制器为Azure云域协调验证事件。

自管理域控制器如果您在Azure中管理自己的域控制器,请按照上面的步骤使用WMI配置AD事件源。

Azure AD域服务如果您正在使用Azure AD域服务,您将无法访问记录用户身份验证的安全日志。为了让InsightIDR接收这些事件,必须从各个端点而不是集中的域控制器检索它们。

安装了解代理必威体育app登录以便检索所有的身份验证活动。

Azure管理员活动

自管理域控制器您可以通过使用WMI配置标准广告事件源来跟踪管理员活动。

Azure AD域服务此时,InsightIdr不支持Azure AD域服务的管理员活动跟踪。但是,您可以通过配置来实现部分覆盖范围微软Office 365事件来源。

验证配置

完成以下步骤来查看日志,并确保事件正在进入收集器:

  1. 单击InsightIDR左侧菜单中的“Data Collection”,导航到“Event Sources”页签。找到刚刚创建的新事件源并单击查看原始日志按钮。如果在框中看到日志消息,则显示日志正在流到收集器。
  2. 点击日志搜索在Insightidr的左侧菜单中。
  3. 选择适用的日志集和其中的日志名称。日志名称将是您给事件源的名称。

请注意,设置事件源后,日志至少需要7分钟才能出现在日志搜索中。如果您在事件源上选择“查看原始日志”时看到了日志消息,但等待几分钟后在“日志搜索”中没有看到任何日志消息,那么您的日志不符合该事件源的推荐格式和类型。

Active Directory事件源监控的认证事件

这是使用WMI收集方法时默认收集的事件列表,因为InsightIDR认为它们在取证上很有用。要收集更多事件,请检查发送未解析数据选择虽然将Active Directory配置为事件源

被监控的活动

拉动以下事件代码。确保您的域控制器记录所有这些事件:

活动代码

类别

子类别

描述

1102

非审计(事件日志)

记录清楚

日志含义清除审计日志。

4624

登录/注销

审计登录

帐户成功登录。

4625

登录/注销

审计登录

帐户登录失败。

4648

登录/注销

审计登录

试图使用显式凭据登录。

4704

政策变化

审计授权策略变更

分配用户权限。

4720

账户管理

审核用户帐户管理

创建用户帐户。

4722

账户管理

审核用户帐户管理

日志含义启用用户帐号。

4724

账户管理

审核用户帐户管理

试图重置帐户密码。

4725

账户管理

审核用户帐户管理

用户帐户已被禁用。

4728

账户管理

安全组管理

已向启用安全的全局组添加成员。

4732

账户管理

安全组管理

日志含义添加安全本地组成员。

4738

账户管理

审核用户帐户管理

用户帐户已更改。

4740

账户管理

审核用户帐户管理

日志含义用户被锁定。

4741

账户管理

审计计算机帐户管理

创建了一个计算机帐户。

4756

账户管理

审计安全组管理

向启用安全的通用组添加成员。

4767

账户管理

审核用户帐户管理

日志含义解锁用户。

4768

账户登录

Kerberos身份验证服务

请求一个Kerberos身份验证票据(TGT)。

4769

账户登录

Kerberos服务票操作

请求一个Kerberos服务票据。

检查您是否从Active Directory获取活动

下面一节将介绍您可以从Active Directory获得的事件数量。

您也可以回顾故障排除文档.它解释了如何检查Active Directory是否正确地获取事件。

何时为Active Directory发送未解析的日志

在配置期间,可以根据要监视的事件类型选择发送未解析的数据。

这个文档来自微软有完整的事件列表,Active Directory可以监控:https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor.有许多不同的事件可以记录到安全日志中。并不是所有的方法都能满足你的需要。事件如何进入安全日志取决于您如何配置审计策略以及域的繁忙程度。

如果您的域上的审计是非常细粒度的,那么更多的事件将被写入域控制器安全日志。如果您的域上的审计不是非常细粒度的,那么进入域控制器安全日志的事件就会更少。你可以使用微软文档中的说明修改域控制器的高级审计策略:https://docs.microsoft.com/en-us/defender-for-identity/configure-windows-event-collection

有多少进入安全日志还取决于域的繁忙程度。如果是一个大的域,域控制器会非常繁忙。对他们来说,将数百万个事件写入安全日志是很正常的。

提示:考虑从Active Directory获取未解析的数据

默认情况下,InsightIDR只会从事件源中获取最有价值的事件。但是,对于Active Directory的特殊情况,根据您的审计策略和域的繁忙程度,您可能希望考虑获取未解析的数据,以获取所有可用的事件。