Supervisar las actividades del administrador de dominio de Active Directory

Creo que deberías considerar filtrar y agregar los registros de eventos de Windows. Puede comenzar por el filtrado de eventos específicos, como 4624, inicio de sesión exitoso de un usuario: enlace

Si no tuviera que hacer nada más que monitorear cuando cada Administrador de dominio inicia sesión, ya estará monitoreando una de las anomalías más importantes, que es cuando un usuario cambia su horario de trabajo. A menos que su administrador trabaje por la noche o esté en Australia, no esperamos que trabaje horas de trabajo en chino.

Si tiene un gran presupuesto, simplemente vaya a uno de los muchos proveedores de Información de seguridad y Monitoreo de eventos ("SIEM").

No recomiendo "ser alertado sobre una violación". Va a querer ver los datos por un tiempo, antes de saber lo que constituye un evento realmente importante.

La cuestión del monitoreo de AD es auxiliar al problema que parece tener. En primer lugar, los eventos que desea capturar están documentados y publicados para las personas relevantes. Entonces, todos saben cuál es el uso correcto e incorrecto de los sistemas y el alcance de sus funciones.

Los eventos que desea capturar deben estar alineados con el gobierno de la empresa y los recursos de TI. Simplemente entrar en los registros de seguridad de Windows y los cambios de Active Directory en busca de problemas es, en su mayoría, un ejercicio infructuoso.

¿Ha realizado un esfuerzo concertado para eliminar el acceso a los permisos de nivel de administración en todo el dominio, es decir, administrador de dominio o administrador de empresa? Los permisos no son necesarios para la mayoría de los administradores y la adecuada delegación, emisión, revocación de los permisos de los administradores en caso de que necesiten acceso a algo que centralice la seguridad y aporte visibilidad a las actividades de los administradores.

Y al paso de lo anterior, es imprescindible realizar una búsqueda exhaustiva y buscar permisos delegados en objetos. La escasa visibilidad de tales asignaciones en el objeto en las herramientas de administración de AD con las que la mayoría de los administradores estarían familiarizados puede permitir que este enorme gigante se supervise.

Más allá de algunas de estas sugerencias para reforzar la seguridad operativa de los activos de las empresas, también puedo sugerirle que comience a documentar desde un punto de vista de seguridad. Qué quiere saber, y qué necesita asegurar, monitorear y desarrollar los sistemas y procedimientos para hacerlo todo visible, medible, sin reputación, revisado, etc.

El diluvio de datos es enorme, ya que resolver el problema mediante la aspiración y la búsqueda no es el camino cuando se trata de seguridad, especialmente vectores y actores basados en información privilegiada. Mi opinión estoy seguro de que la NSA no está de acuerdo.

Microsoft tiene una herramienta, Advanced Threat Analytics , que hace exactamente lo que estás buscando.

  

¿Hay alguna opción en la que aún pueda activar la auditoría de Windows y filtrar estas actividades?

[SÍ] Creo que debería usar Log Parser 2.2 una herramienta de Microsoft y como dice su descripción

  

Log parser es una herramienta potente y versátil que proporciona acceso de consulta universal a datos basados en texto, como archivos de registro, archivos XML y CSV, así como fuentes de datos clave en el sistema operativo Windows®, como el Registro de eventos. el Registro, el sistema de archivos y Active Directory

El único problema con esta poderosa herramienta es el hecho de que no tiene una GUI. Sí, es de Microsoft pero solo es una herramienta de línea de comandos :). Sin embargo, hay muchos GUI de terceros para él (tanto gratuitos como comerciales) en Google y usted encuentra el soporte de GUI para él.

Ahora, esta es la parte fácil de tu pregunta, la parte difícil es:

  

Buscar anomalías en la actividad diaria y recibir alertas sobre una infracción

¿Cuáles son las definiciones de anomalía y violación? Esto es diferente de una organización a otra. Por ejemplo, y el administrador que otorga acceso a una cuenta en el AD a las 3:00 am del fin de semana puede ser una acción anómala para su empresa, pero es divertido para otra.

La mayoría de las herramientas de analizador de eventos de seguridad o registro es solo un sistema de consulta que necesita para decirle lo que está buscando (qué patrón o secuencia de eventos) e intentará encontrarlo por usted. En función del resultado de la consulta, el analista de seguridad es quien decide si se trata de una infracción o no. Por supuesto, algunos de ellos pueden permitirle escribir reglas para definir acciones de anomalías.

La solución alternativa podría ser usar un sistema de detección de intrusos basado en host (HIDS) que se pueda configurar con reglas de detección en torno a los recursos y registros utilizados / creados por el controlador de dominio (Active Directory). La mayoría de las soluciones HIDS pueden permitirle configurar alertas que se activan según umbrales específicos (es decir, después de 10 intentos fallidos, se genera una alerta por correo electrónico y se envía al administrador de TI). Un paso más allá de la simple detección de los controladores de dominio es proporcionar una prevención proactiva mediante el uso de un sistema de prevención de intrusos (HIPS) basado en el host mediante la creación de políticas de control de acceso de privilegios de acceso mínimo que permiten que los servicios como LSASS.exe realicen registros de R / W ntds.dit, entre otros archivos, pero proporciona otro programa con acceso de solo lectura. Symantec ofrece una herramienta HIDS / HIPS con mucha inteligencia de seguridad lista para usar. Este producto se llama Symantec Data Center Security: Server Advanced. Otros proveedores en este espacio incluyen McAfee (Solid Core) y Bit9 (sin embargo, esta herramienta está enfocada hacia clientes y no tanto servidores).

Si aún no tiene una herramienta para el registro de eventos, esto le será de gran ayuda. Hay requisitos de seguimiento y registro de eventos que debe seguir, que le serán útiles para difundir en qué necesita alertas y qué debe registrar. Herramientas como Solarwinds o Landguard son extremadamente útiles.

Eliminar el acceso a los permisos de nivel de administración en todo el dominio, es decir, el Administrador del dominio o el Administrador de la empresa es algo que debería estudiar. Y acepto que los permisos no son necesarios para la mayoría de los administradores y la delegación, emisión, revocación de permisos apropiados de los administradores en caso de que necesiten acceso a algo que centralice la seguridad y proporcione visibilidad a las actividades de los administradores.

En primer lugar debo decir que no estoy afiliado a esta compañía, excepto que he usado e instalado sus productos y me han gustado.

enlace : es una solución de nivel empresarial que permite monitorear, alertar y auditar el uso de cuentas privilegiadas, incluido el dominio. administradores.

Definitivamente vale la pena echarle un vistazo si está interesado en auditar a usuarios privilegiados.

Estoy usando OSSEC para monitorear mis servidores, que funciona relativamente bien. La gran ventaja es que puede usarse para Windows y para sistemas basados en Linux y Unix. También puede proporcionar sus propias reglas para filtrar, que podrían usarse para hacer un seguimiento de la actividad administrativa que se documenta en los archivos de registro.