如果用户手动根据 Windows 事件的内容添加到管理员组。
以下是该事件的一个示例(部分内容已清理)
{
"hostIdentifier": "00000000-abcd-ef12-3456-1234567890",
"MemberName": "-",
"MemberSid": "S-1-5-XX-XXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXX",
"PrivilegeList": "-",
"SubjectDomainName": "FOO",
"SubjectLogonId": "0x3e7",
"SubjectUserName": "EXAMPLEUSER-FOO$",
"SubjectUserSid": "S-1-5-18",
"TargetDomainName": "Builtin",
"TargetSid": "S-1-5-32-123",
"TargetUserName": "FooAdmins",
"datetime": "2020-09-01T20:12:10.123456789Z",
"eventid": "4732",
"keywords": "-1",
"level": "0",
"provider_guid": "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXX}",
"provider_name": "Microsoft-Windows-Security-Auditing",
"source": "Security",
"task": "13826",
"time": "1234567890"
}
我认为我唯一能解决的是SubjectUserSid
以及它是一个系统帐户(按照$
)。即便如此,它也没有明确表明它是组策略操作的结果。如果我忽略了,是否有明显的标志?
答案1
我认为您无法准确判断它是否是手动完成的。主体可以是用户帐户,但仍然是脚本化的自动化操作。它也可以是用于自动化的服务帐户,但仍然可以使用自定义参数手动触发。
您能做的最好的事情就是进行有根据的猜测。用户不会自动添加到任何管理员组。因此,您始终可以触发警报并从那里开始。
- 如果您安装了将用户添加到管理组的软件,请忽略警报或将其标记为已解决。
- 如果您有将用户添加到管理员组的机制,则当您在事件项中看到服务帐户时请进行例外处理。
- 否则生成警报。
作为附加过滤器,您可以将 SubjectLogonId 与登录事件关联起来并检查登录类型。如果是交互式的,您可以肯定这是一项手动任务。但是,它仍然可能是自动操作,登录类型网络仍然可能是手动操作。