如何判断用户组修改事件是否是由于组策略而不是手动操作触发的?

如何判断用户组修改事件是否是由于组策略而不是手动操作触发的?

如果用户手动根据 Windows 事件的内容添加到管理员组。

以下是该事件的一个示例(部分内容已清理)

{
  "hostIdentifier": "00000000-abcd-ef12-3456-1234567890",
  "MemberName": "-",
  "MemberSid": "S-1-5-XX-XXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXX",
  "PrivilegeList": "-",
  "SubjectDomainName": "FOO",
  "SubjectLogonId": "0x3e7",
  "SubjectUserName": "EXAMPLEUSER-FOO$",
  "SubjectUserSid": "S-1-5-18",
  "TargetDomainName": "Builtin",
  "TargetSid": "S-1-5-32-123",
  "TargetUserName": "FooAdmins",
  "datetime": "2020-09-01T20:12:10.123456789Z",
  "eventid": "4732",
  "keywords": "-1",
  "level": "0",
  "provider_guid": "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX}",
  "provider_name": "Microsoft-Windows-Security-Auditing",
  "source": "Security",
  "task": "13826",
  "time": "1234567890"
} 

我认为我唯一能解决的是SubjectUserSid以及它是一个系统帐户(按照$)。即便如此,它也没有明确表明它是组策略操作的结果。如果我忽略了,是否有明显的标志?

答案1

我认为您无法准确判断它是否是手动完成的。主体可以是用户帐户,但仍然是脚本化的自动化操作。它也可以是用于自动化的服务帐户,但仍然可以使用自定义参数手动触发。

您能做的最好的事情就是进行有根据的猜测。用户不会自动添加到任何管理员组。因此,您始终可以触发警报并从那里开始。

  • 如果您安装了将用户添加到管理组的软件,请忽略警报或将其标记为已解决。
  • 如果您有将用户添加到管理员组的机制,则当您在事件项中看到服务帐户时请进行例外处理。
  • 否则生成警报。

作为附加过滤器,您可以将 SubjectLogonId 与登录事件关联起来并检查登录类型。如果是交互式的,您可以肯定这是一项手动任务。但是,它仍然可能是自动操作,登录类型网络仍然可能是手动操作。

相关内容