活动目录
活动目录安全日志对于洞察器的属性引擎和安全事件警报功能至关重要。这些日志允许InsightOps记录用户登录,跟踪管理活动,并警告可疑/恶意用户活动。insighttops的Collector软件能够使用WMI从域控制器拉取日志——这是推荐的收集方法,因为insighttops会自动收集感兴趣的事件(本页底部收集的事件的完整列表)。
初始设置的步骤
- 点击数据收集从InsightOps菜单中。
- 点击设置事件源>添加事件源从数据收集页面。
- 点击活动目录从添加事件源页面。
- 从**Collector **下拉菜单中选择合适的Collector。
- 选中“**Microsoft Active Directory安全日志”事件源下拉菜单。
- 选择域控制器设置的时区(如果只想显示美国时区,请勾选此框)。
- 选择WMI收集方法.
- 在“**Server **”中输入域控制器的IP地址或完全限定主机名。
- 在“**User Domain **”字段中输入AD域。
- 选择(或创建新的)域管理员证书用于从DC收集事件。
- 保存.
详细的设置步骤
- 在insighttops web GUI的“数据采集”页面中,单击“设置事件源—>添加事件源”。
- 在“添加事件源”页面中选择“Active Directory”。
- 在事件源设置窗格中,从“事件源”下拉菜单中选择“Microsoft Active Directory安全日志”。
- 输入显示名称-这是事件源的逻辑名称,将在日志搜索和管理事件源页面中看到。我们建议使用事件源类型和主机的组合作为显示名称(例如,AD - ADDC1.example.com)。
- 活动目录有三种收集方法:WMI、Syslog和Log Aggregator。WMI是推荐的。
WMI收集方法
收集Active Directory日志的最常用方法是使用域管理员服务帐户通过WMI从域控制器提取事件。由于被监视的事件的性质,域管理权限是必要的-请参阅下面InsightOps收集的事件代码和属性列表。
设置说明
- 收集的方法——选择WMI
- 服务器—输入采集器能够访问的Active Directory域控制器的Fully Qualified Domain Name (FQDN)。
- 用户域—输入域控制器管理的用户域。如果有多个域,则需要为每个域设置一个事件源。
- 凭证—如果已配置域管理员凭据,请选择已有的域管理员凭据,或者创建新的凭据。
事件监控
提取以下事件代码。确保你的域控制器记录所有这些事件:
事件代码 |
类别 |
子类别 |
描述 |
|---|---|---|---|
1102 |
非审计(事件日志) |
记录清楚 |
日志含义清除审计日志 |
4768 |
账户登录 |
审计Kerberos认证服务 |
请求一个Kerberos身份验证票据(TGT) |
4769 |
账户登录 |
审计Kerberos认证服务 |
请求一个Kerberos服务票据 |
4728 |
账户管理 |
审计应用组管理 |
已向启用安全的全局组添加成员 |
4732 |
账户管理 |
审计安全组管理 |
日志含义添加安全本地组成员 |
4756 |
账户管理 |
审计安全组管理 |
向启用安全的通用组添加成员 |
4720 |
账户管理 |
审计用户帐户管理 |
创建用户帐户 |
4722 |
账户管理 |
审计用户帐户管理 |
日志含义启用用户帐号 |
4724 |
账户管理 |
审计用户帐户管理 |
试图重置帐户密码 |
4725 |
账户管理 |
审计用户帐户管理 |
日志含义禁用用户帐号 |
4740 |
账户管理 |
审计用户帐户管理 |
日志含义用户被锁定 |
4767 |
账户管理 |
审计用户帐户管理 |
日志含义解锁用户 |
4741 |
账户管理 |
审计计算机帐户管理 |
创建了一个计算机帐户 |
4624 |
登录/注销 |
审计登录 |
试图重置帐户密码。 |
4625 |
登录/注销 |
审计登录 |
帐户登录失败 |
4628 |
登录/注销 |
审计登录 |
试图使用显式凭据登录 |
4704 |
政策变化 |
审计授权策略变更 |
分配用户权限 |