Kā es varu uzzināt, vai lietotāju grupas modifikācijas notikums tiek aktivizēts grupas politikas dēļ, nevis manuālas darbības?
Es aktivizēju brīdinājumu, ja lietotāji manuāli tiek pievienoti administratoru grupai, pamatojoties uz Windows notikuma saturu.
Lūk, notikuma piemērs (ar dažas lietas ir dezinficētas)
{
"hostIdentifier": "00000000-abcd-ef12-3456-1234567890",
"MemberName": "-",
"MemberSid": "S-1-5-XX-XXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXX",
"PrivilegeList": "-",
"SubjectDomainName": "FOO",
"SubjectLogonId": "0x3e7",
"SubjectUserName": "EXAMPLEUSER-FOO$",
"SubjectUserSid": "S-1-5-18",
"TargetDomainName": "Builtin",
"TargetSid": "S-1-5-32-123",
"TargetUserName": "FooAdmins",
"datetime": "2020-09-01T20:12:10.123456789Z",
"eventid": "4732",
"keywords": "-1",
"level": "0",
"provider_guid": "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX}",
"provider_name": "Microsoft-Windows-Security-Auditing",
"source": "Security",
"task": "13826",
"time": "1234567890"
}
Vienīgais, ko, manuprāt, varu atslēgt, ir SubjectUserSid un fakts, ka tas ir sistēmas konts (saskaņā ar $ ). Pat tad, ja tas nepārprotami nenorāda, ka tas bija grupas politikas darbības rezultāts.Vai gadījumā, kad es skatos, ir acīmredzams karodziņš?
Я не думаю, что вы можете достоверно сказать, было ли это сделано вручную. Субъект может быть учетной записью пользователя и по-прежнему быть автоматизированным действием по сценарию. Это также может быть учетная запись службы, используемая для автоматизации, но при этом запускаемая вручную с помощью настраиваемых параметров.
Лучшее, что вы можете сделать, это обоснованно предположить. Пользователи не добавляются автоматически ни в какие группы администраторов. Таким образом, вы всегда можете вызвать предупреждение и начать оттуда.
- Если вы устанавливаете программное обеспечение, добавляющее пользователей в группы администраторов, просто проигнорируйте предупреждение или отметьте его как разрешенное.
- Если у вас есть механизмы добавления пользователей в группы администраторов, делайте исключения, когда видите сервисный аккаунт в элементе события.
- В противном случае создайте оповещение.
В качестве дополнительного фильтра можно сопоставить SubjectLogonId с событием входа и проверить тип входа. Если он интерактивный, вы можете быть уверены, что это была ручная задача. Тем не менее, это все еще может быть автоматизированным действием, а вход в сеть по-прежнему может быть ручным действием.