La cuestión del monitoreo de AD es auxiliar al problema que parece tener. En primer lugar, los eventos que desea capturar están documentados y publicados para las personas relevantes. Entonces, todos saben cuál es el uso correcto e incorrecto de los sistemas y el alcance de sus funciones.
Los eventos que desea capturar deben estar alineados con el gobierno de la empresa y los recursos de TI. Simplemente entrar en los registros de seguridad de Windows y los cambios de Active Directory en busca de problemas es, en su mayoría, un ejercicio infructuoso.
¿Ha realizado un esfuerzo concertado para eliminar el acceso a los permisos de nivel de administración en todo el dominio, es decir, administrador de dominio o administrador de empresa? Los permisos no son necesarios para la mayoría de los administradores y la adecuada delegación, emisión, revocación de los permisos de los administradores en caso de que necesiten acceso a algo que centralice la seguridad y aporte visibilidad a las actividades de los administradores.
Y al paso de lo anterior, es imprescindible realizar una búsqueda exhaustiva y buscar permisos delegados en objetos. La escasa visibilidad de tales asignaciones en el objeto en las herramientas de administración de AD con las que la mayoría de los administradores estarían familiarizados puede permitir que este enorme gigante se supervise.
Más allá de algunas de estas sugerencias para reforzar la seguridad operativa de los activos de las empresas, también puedo sugerirle que comience a documentar desde un punto de vista de seguridad. Qué quiere saber, y qué necesita asegurar, monitorear y desarrollar los sistemas y procedimientos para hacerlo todo visible, medible, sin reputación, revisado, etc.
El diluvio de datos es enorme, ya que resolver el problema mediante la aspiración y la búsqueda no es el camino cuando se trata de seguridad, especialmente vectores y actores basados en información privilegiada. Mi opinión estoy seguro de que la NSA no está de acuerdo.