UTMStack:AD 审计集成

UTMStack:AD 审计集成

我正在尝试启用 AD 审计集成,但收到错误“Windows 事件未被记录”

我已经在指向它的域控制器上安装了代理,并且我可以看到 winlogbeats 日志正常进入。

答案1

需要启用目录服务变更审核。

使用以下命令:

获取当前审核设置:
auditpol /get /category:*

确认高级审计已启用:
reg query HKLM\System\CurrentControlSet\Control\LSA /v SCENoApplyLegacyAuditPolicy

启用目录服务变更审核:

审计目录服务变更
https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-directory-service-changes

AD 审计配置
https://docs.utmstack.com/books/ad-auditor/page/ad-audit

请注意,还需要在 AD 对象本身上启用审核。这通常意味着在对象层次结构的根目录下添加系统访问控制列表 (SACL),指定对修改和删除进行审核。这些应添加到 AD 用户和计算机 (dsa.msc) 中的域根目录,以及 AD 站点和服务 (dssite.msc) 中的站点配置容器根目录。

如果所有配置都正确,安全事件日志中应该会有大量更改事件(事件 ID 5136),因为对象在正常运行期间经常更改。您还可以测试对象的创建/删除以分别创建 5137 和 5141 事件。

相关内容