Введение
При помощи групповых политик аудита и средства просмотра событий можно осуществлять мониторинг действий в домене Active Directory. Однако штатные средства операционной системы Windows стремительно теряют свою эффективность при значительном росте числа событий. Данную проблему можно решить при помощи системы контроля неструктурированных данных «Спектр». С ее помощью можно быстро и эффективно отслеживать события в домене Active Directory, существенно экономя время специалиста.
«Спектр» способен обрабатывать следующие события Active Directory:
Рассмотрим возможность аудита домена Active Directory на практических сценариях сначала при помощи штатных средств мониторинга событий операционной системы Windows Server 2016, а затем сравним их с возможностями системы «Спектр».
Сценарий первый. Добавление пользователя в домен
Первый сценарий состоит из аудита событий, возникающих при добавлении пользователя Манилова в домен Active Directory. При обращении к штатному средству просмотра событий будут видны следующие записи:
Аналогичные события, но уже в системе «Спектр»:
Запись действий специалиста, проводящего аудит данных событий сначала в штатном средстве просмотра событий ОС Windows, а затем в системе «Спектр»:
Сценарий второй. Создание группы и добавление пользователя в группы
Второй сценарий состоит из аудита событий, возникающих при создании группы и добавлении в нее пользователя в домене Active Directory. При обращении к штатному средству просмотра событий будут видны следующие записи:
Аналогичные события, но уже в системе «Спектр»:
Детализация события добавления в группу в системе «Спектр»:
Запись действий специалиста, проводящего аудит данных событий сначала в штатном средстве просмотра событий ОС Windows, а затем в системе «Спектр»:
Сценарий третий. Неуспешный вход в систему и блокировка пользователя
Третий сценарий состоит из аудита событий, возникающих при неправильной авторизации пользователя в домене Active Directory, приводящих к блокировке его учетной записи. При обращении к штатному средству просмотра событий будут видны следующие записи:
Аналогичные события, но уже в системе «Спектр»:
Детализация события блокировки учетной записи в системе «Спектр»:
Запись действий специалиста, проводящего аудит данных событий сначала в штатном средстве просмотра событий ОС Windows, а затем в системе «Спектр»:
Сценарий четвертый. Большое число событий
Четвертый сценарий состоит из аудита событий, возникающих при регулярной работе с доменом Active Directory и включает в себя самые разнообразные события. При обращении к штатному средству просмотра событий будут видны следующие записи:
Аналогичные события, но уже в системе «Спектр»:
Запись действий специалиста, проводящего аудит данных событий сначала в штатном средстве просмотра событий ОС Windows, а затем в системе «Спектр»:
При выполнении четвертого сценария становится очевидным, что штатное средство просмотра событий Windows становится малоэффективными ввиду необходимости знания кодов событий, отсутствия оценки важности события и вывода важной информации о действии в заголовок события. Все это существенно увеличивает затрачиваемое специалистом время на аудит.
Построение отчетов Active Directory
Система «Спектр» обладает возможностью собирать и агрегировать большое количество информации из Active Directory. На данный момент пользователю доступны девять предустановленных шаблонов отчетов:
В качестве примера были составлены три вида отчетов: «Компьютеры», «Список неактивных учетных записей» и «Список сотрудников с постоянным паролем».
Отчет по компьютерам:
Отчет по неактивным учетным записям:
Отчет по сотрудникам с постоянным паролем:
Генерация отчетов не ограничена только предустановленными вариантами. Пользователь может создать собственный отчет в соответствии с необходимыми для него параметрами.
В качестве примера был составлен шаблон отчета действий средней и высокой важности совершенных главным администратором за февраль. При помощи конструктора фильтров в аудите Active Directory, отфильтруем события средней и высокой важности, выполненные от имени администратора, при этом отбросим события входа/выхода.
Время: май;
Сотрудник: SPECTRTEST\Администратор;
Уровень важности: средний или высокий;
Действие: все, кроме входа и выхода из системы.
Полученные результаты работы фильтра можно рассмотреть непосредственно в меню аудита Active Directory:
Добавим данный фильтр в шаблоны для отчетов. Для этого необходимо нажать на клавишу «Сохранить как отчет» и задать необходимые параметры:
После этого отчет будет создан и добавлен в группу «Пользовательские отчеты» в разделе отчетов:
При необходимости данный отчет может быть сохранен в форматах pdf, csv, xlsx, html.
К сожалению, штатные средства фиксации событий операционной системы Windows Server 2016 не могут предоставить подобные средства построения отчетов.
Итоги
Штатное средство просмотра событий, при настроенных групповых политиках безопасности, позволяет проводить аудит любых событий в домене Active Directory. Однако перегруженность интерфейса, необходимость знания кодов событий, отсутствие оценки важности события и вывода важной информации о действии в заголовок события не позволяет делать это быстро и эффективно. Система контроля неструктурированных данных «Спектр» позволяет специалисту проводить аудит домена Active Directory эффективно, своевременно ликвидируя проблемы безопасности и рационализируя затрачиваемое специалистом время.
Автор статьи: Антон Кобяков, инженер TS Solution
