Es aktivizēju brīdinājumu, ja lietotāji manuāli tiek pievienoti administratoru grupai, pamatojoties uz Windows notikuma saturu.
Lūk, notikuma piemērs (ar dažas lietas ir dezinficētas)
{
"hostIdentifier": "00000000-abcd-ef12-3456-1234567890",
"MemberName": "-",
"MemberSid": "S-1-5-XX-XXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXX",
"PrivilegeList": "-",
"SubjectDomainName": "FOO",
"SubjectLogonId": "0x3e7",
"SubjectUserName": "EXAMPLEUSER-FOO$",
"SubjectUserSid": "S-1-5-18",
"TargetDomainName": "Builtin",
"TargetSid": "S-1-5-32-123",
"TargetUserName": "FooAdmins",
"datetime": "2020-09-01T20:12:10.123456789Z",
"eventid": "4732",
"keywords": "-1",
"level": "0",
"provider_guid": "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX}",
"provider_name": "Microsoft-Windows-Security-Auditing",
"source": "Security",
"task": "13826",
"time": "1234567890"
}
Vienīgais, ko, manuprāt, varu atslēgt, ir SubjectUserSid
un fakts, ka tas ir sistēmas konts (saskaņā ar $
). Pat tad, ja tas nepārprotami nenorāda, ka tas bija grupas politikas darbības rezultāts.Vai gadījumā, kad es skatos, ir acīmredzams karodziņš?
Я не думаю, что вы можете достоверно сказать, было ли это сделано вручную. Субъект может быть учетной записью пользователя и по-прежнему быть автоматизированным действием по сценарию. Это также может быть учетная запись службы, используемая для автоматизации, но при этом запускаемая вручную с помощью настраиваемых параметров.
Лучшее, что вы можете сделать, это обоснованно предположить. Пользователи не добавляются автоматически ни в какие группы администраторов. Таким образом, вы всегда можете вызвать предупреждение и начать оттуда.
В качестве дополнительного фильтра можно сопоставить SubjectLogonId с событием входа и проверить тип входа. Если он интерактивный, вы можете быть уверены, что это была ручная задача. Тем не менее, это все еще может быть автоматизированным действием, а вход в сеть по-прежнему может быть ручным действием.