[WINDOWS]: 根据 ID 4780 识别新的受保护帐户

[WINDOWS]: 根据 ID 4780 识别新的受保护帐户

作为一项最佳安全做法,我希望在 Windows Active Directory 域中跟踪任何新的“受保护的帐户和组”。根据 Microsoft 的说法,这涉及直接或间接属于这些指定组的任何用户或组(来源)。为了实现这样的检测,我在启用适当的审计设置后设法将所有 Windows 服务器日志收集到我的 SIEM 中。

我目前专注于该活动ID 4780 (ACL 是在属于管理员组成员的帐户上设置的。-来源)。微软表示,“如果主体帐户上的 ACL 与 AdminSDHolder 对象上的 ACL 不同,则主体帐户上的 ACL 将重置为与 AdminSDHolder 对象上的 ACL 匹配,并生成此事件“。因此,每次将新用户或组标记为“受保护”时,都应触发此事件 ID。

我的问题这里的事件 ID 是每小时为我的所有“特权帐户”生成的(见下图),这是 SDProp 进程默认定义的。这涉及所有内置组(域管理员、架构管理员等),但也涉及不直接属于这些“内置受保护组”的中间自定义组。由于这些事件一直在生成,所以我的检测毫无用处。下图表示每个用户或组的事件 ID 4780 的数量。我从不同的域中获取它以确保这不是孤立行为。 默认帐户 所有账户

除此之外,我还一直在关注:

  • 管理员SDHolder:当对象被标记为“受保护”时,属性设置为 1。通过手动修改属性值,我能够触发事件 ID 5136。但是,当 SDProp 进程推动更改时,不会触发任何事件。请注意,对象上已实施适当的 SACL 审计(完整对象审计)。
  • 域组成员身份变更(ID 4728/4756):已到位,但限制是中间组。例如,组“SG_Admin1”是“域管理员”的成员。理想情况下,我需要监控“SG_Admin1”,但由于我们拥有如此多的客户,并非所有客户都可能向我们报告该组是敏感的。因此,如果有人将用户添加到“SG_Admin1”,我们就会错过添加了新的“域管理员”成员。
  • LDAP 查询对于 AdminSDHolder:我们的检测目前仅基于 Windows 日志,而不是 LDAP 查询

那么还有其他人遇到这个问题吗?如果是,您是如何解决的?我可以使用哪些其他解决方案来监视任何新的“受保护”对象?

相关内容