활성 디렉터리 (AD) 이벤트 로그보기 및 추적 항목. 활성 디렉터리 이벤트 로그와 그 추적 기능은 무엇인가?이벤트 로그와 그 추적 기능은 무엇입니까? AD의 건강 상태를 추적하여 모니터링합니다.
또한 AD 이벤트 로그는 잠재적인 보안 위협을 식별하는 데 도움이 됩니다. 이러한 위협이 구체화되기 전에
감사를 위해 AD 이벤트를 검토하려면 먼저 사용 가능한 이벤트 로그와 그들이 추적하는 정보를 이해해야 합니다. 이 문서의 첫 번째 섹션에서는 활성 디렉터리 이벤트 로그와 제공하는 데이터에 대해 설명합니다.
두 번째로, 이벤트 로그를 보는 방법을 살펴보겠습니다. 그러나 Active Directory 감사를 그룹 정책을 통해 활성화하여 AD가 Windows 이벤트 로그에 이벤트를 기록하도록 설정해야 합니다.
이 가이드의 2부분을 시작하여 Active Directory 감사 정책을 그룹 정책을 사용하여 활성화하는 방법을 보여드리겠습니다. 또한 AD 이벤트 로그를 보고 분석하기 위한 두 가지 옵션인 Windows 이벤트 로그 뷰어와 PowerShell에 대해 살펴보겠습니다.
중요한 Active Directory (AD) 이벤트 로그 및 추적 내용
Audit Policy 내에는 9가지 정책이 있지만 대부분의 조직의 감사 요구 사항을 충족하는 4가지에 중점을 둡니다. 또한 정책이 활성화되면 도메인 컨트롤러가 생성하는 이벤트 로그, 이를 포함하는 정보 및 사용 방법에 대해 자세히 설명합니다.
또한 읽으십시오 사용자 로그인(성공 실패)을 위한 Azure AD 감사 로그 확인
감사 계정 로그온 이벤트 (이벤트 로그 672에서 683)
만약 당신이도메인 컨트롤러가 (로컬보안 이벤트 로그에) 도메인에서 사용자, 컴퓨터 또는 서비스 계정을인증할 때마다 기록하도록 하고 싶다면, 계정 로그온 이벤트 감사 정책을 성공과 실패에 대해 활성화하십시오. 이 정책을 활성화하면 기본 도메인 컨트롤러 정책에서 도메인 컨트롤러는 사용자, 컴퓨터 또는 서비스 계정이 도메인에서 인증을 받을 때마다 이벤트를 기록합니다.
이 정책을 활성화하면 도메인 컨트롤러의 로컬 보안 이벤트 로그에 이벤트 로그 ID 672에서 683이 기록될 수 있습니다. 이벤트를 읽고 기록하는 내용을 확인하려면 이 감사 설정을 구성하세요.
계정 로그온 이벤트 감사정책을 활성화하면 사용자가 도메인에 지속적으로 로그온 및 로그오프하기 때문에 도메인 컨트롤러(DCs)가 수많은 이벤트 로그를 기록합니다. 처음에는 불필요해 보일 수 있지만, Microsoft는 이 정책에 대한 성공 및 실패 이벤트를 활성화하는 것을 권장합니다. 또한, 이 문서의 후반부에서는 이벤트 로그를 필터링하여 분석하려는 이벤트를 반환하는 방법을 보여줍니다.
게다가, 이 문서의 후반부에서는 분석하려는 이벤트를 반환하기 위해 이벤트 로그를 필터링하는 방법을 보여드리겠습니다.
효율적인 모니터링을 위한 Azure AD 활동 로그 구성 방법
계정 관리 감사 (이벤트 로그 4720에서 4780까지)
계정 관리 이벤트 로그는 사용자, 컴퓨터 또는 그룹에 대한 관리자의 변경 사항을 기록합니다.Active Directory에서 계정 관리 이벤트의 몇 가지 예는 다음과 같습니다:
- 관리자는 사용자 계정 또는 그룹을 생성, 수정 또는 삭제합니다.
- 서비스 데스크에서 누군가 암호를 설정하거나 변경합니다.
- 관리자는 그룹 또는 사용자 계정을 활성화, 비활성화 또는 이름을 변경합니다.
이러한 이벤트를 기록하도록 DC를 구성하려면 계정 관리 감사 이벤트를 성공 및/또는 실패 이벤트에 대해 활성화하십시오. 이 정책을 기본 도메인 컨트롤러 정책에서 활성화하면 도메인 컨트롤러가 로컬 이벤트 4720에서 4780을 보안 이벤트 로그에 기록합니다.
감사 디렉토리 서비스 액세스(이벤트 로그 4661 및 4662)
감사 디렉토리 서비스 액세스 보안 정책은 사용자가 활성 디렉터리 개체에 대한 액세스를 시도할 때 DC 감사를 지정합니다. 또한 이 보안 정책을 도메인 컨트롤러에서 활성화할 때 이벤트 로그 4661 또는 4662를 기록합니다.
DC는 사용자가 개체에 대한 핸들을 요청할 때 이벤트 ID 4661을 생성합니다. 반면에 활성 디렉터리 개체에서 작업이 수행되면 DC는 이벤트 ID 4662를 기록합니다.
실제로 이벤트 ID 4661을 사용하여 AD 개체에 대한 시도된 무단 액세스를 추적합니다. 이를 통해 활성 디렉터리의 민감한 개체에 대한 액세스 시도를 추적할 수 있습니다.
마찬가지로, AD 보안 주체(사용자 또는 그룹)에서 수행된 작업을 추적해야 하는 경우 이벤트 4662를 모니터링합니다. 모니터링 이 이벤트는 사용자 계정, 그룹 멤버십 및 그룹 정책 업데이트에 대한 변경 사항에 대한 귀중한 정보를 제공할 수 있습니다.
이를 통해 시스템 관리자는 잠재적으로 악의적인 활동을 감지하고 분석할 수 있습니다. 또한 이벤트 4662는 시스템에 대한 변경 사항을 시간 경과에 따라 추적하는 데 도움이 될 수 있으며, 이는 규정 준수 및 감사 목적으로 사용될 수 있습니다.
감사 로그온 이벤트(이벤트 로그 4624~4779)
“Audit 로그온 이벤트” 보안 정책을 활성화하면 컴퓨터가 사용자의 로그온 또는 로그오프 작업의 모든 인스턴스를 기록합니다. 이 정책이 도메인 컨트롤러에서 활성화되면 DC에서 사용자 계정의 로그온 및 로그오프 활동을 캡처합니다.
또한 도메인 계정이 멤버 서버나 작업 스테이션에서 대화형 로그온에 사용되면 도메인 컨트롤러에서 로그온 이벤트가 생성됩니다.
“Audit Account Logon Events”에 대한 이전 논의 이후 많은 독자들이 “Audit 계정 Logon Events”와 “Audit Logon Events”의 차이점에 대해 궁금해하고 있습니다.
“audit logon events” 보안 정책은 기기에서 모든 사용자의 로그인 및 로그아웃 인스턴스를 등록할지 여부를 결정합니다.
반면에, 감사 계정 로그온 이벤트 보안 정책은 계정 검증 또는 인증을 위해 다른 장치에서 사용자가 로그인하거나 로그아웃하는 모든 인스턴스를 기록할지 여부를 결정합니다.
도메인 컨트롤러에서 감사 로그온 이벤트 정책을 활성화하면 로그온이 DC에서 발생하든 워크�케이프에서 발생하든 도메인 계정 로그온 이벤트가 생성됩니다. 그러나 DC에서 감사 계정 로그온 이벤트를 활성화하면 도메인 컨트롤러에서 인증된 계정 로그온 활동이 기록됩니다.
감사 계정 로그온 이벤트 보안 정책은 이벤트 로그 ID 4624에서 4779를 생성합니다.
필수 Active Directory (AD) 이벤트 로그 활성화 및 보기
이 섹션에서는 이전 섹션에서 논의한 그룹 정책을 사용하여 활성 디렉토리(Active Directory) 이벤트 로그를 활성화하는 단계를 다룹니다. 그 후, Windows 이벤트 뷰어와 PowerShell을 사용하여 AD 이벤트 로그를 보고 분석하는 방법을 설명합니다.
그룹 정책을 통한 AD 이벤트 로그 활성화
1. 그룹 정책 관리 콘솔을 엽니다. “그룹 정책 관리”를 검색하거나 서버 관리자를 통해 열 수 있습니다.
2. 그룹 정책 관리 콘솔에서 도메인 컨트롤러로 이동하여 컨테이너를 확장합니다.
3. 다음으로, 기본 도메인 컨트롤러 정책을 마우스 오른쪽 버튼으로 클릭하고 편집을 선택합니다. 만약 편집하고 싶지 않다면, 그룹 정책 개체 컨테이너로 이동하여 확장한 후
그 후, 기본 도메인 컨트롤러 정책을 그룹 정책 개체 컨테이너로 드래그하여 복사합니다. 복사한 정책을 이름 변경한 후 도메인 컨트롤러 컨테이너로 드래그하여 GPO를 컨테이너에 적용합니다.
이 접근 방식을 사용하면 원본 Default 도메인 컨트롤러 정책 대신 복사된 정책을 수정할 수 있습니다.
4. GPO가 편집을 위해 열리면 아래 경로로 이동하세요:
5. 다음으로 다음 정책을 구성하세요:
계정 관리 감사: 성공; 디렉터리 서비스 액세스 감사: 성공; 로그온 이벤트 감사: 성공 및 실패; 계정 로그온 이벤트 감사: 성공 및 실패.
위의 정책은 아래 스크린샷과 일치해야 합니다.
DC에서 현재 구성된 감사 정책 목록을 보려면 아래 명령을 실행하세요.
Windows 이벤트 뷰어로 필수 Active Directory 이벤트 로그 보기 및 추적
- 이벤트 뷰어를 검색하여 열기.
2. 다음으로, Windows 로그를 열고 -> 보안 – 도메인 컨트롤러가 Windows 보안 로그에 감사 이벤트를 기록합니다. 수많은 이벤트 로그가 있으므로, 이벤트를 분석하는 가장 효과적인 방법은 필터링 옵션을 사용하는 것입니다.
3. 이벤트 로그를 필터링하려면 보안 이벤트 로그를 마우스 오른쪽 버튼으로 클릭하고 현재 로그 필터링을 선택하십시오.
4. 마지막으로, 이벤트 ID로 이벤트 로그를 필터링합니다. 예를 들어, 모든 성공한 계정 로그온을 보려면
또한, 기록된 날짜로 이벤트를 필터링합니다. 이를 위해 로그 시간 드롭다운을 클릭하고 미리 정의된 날짜를 선택하거나 사용자 지정 범위를 선택하여 수동으로 날짜 범위를 입력하십시오.
이벤트 로그에 적용된 필터와 일치하는 기록이 있으면 데이터가 표시됩니다.
윈도우 PowerShell을 사용하여 필수 AD 이벤트 로그 보기 및 추적
PowerShell은 Active Directory 이벤트 로그를 보는 강력한 옵션을 제공하며, Windows 이벤트 뷰어 도구보다 고급 필터링 및 보고서 내보내기 기능을 더 많이 제공합니다. 또한 PowerShell은 이벤트 로그를 보는 다양한 cmdlet을 제공하지만, 이 기사에서는 Get-WinEvent cmdlet을 사용합니다.
다음 cmdlet을 사용하여 AD 이벤트 로그를 보십시오.
1. 관리자 권한으로 PowerShell을 열고 “Windows PowerShell”을 검색한 다음 “관리자로 실행”을 클릭하십시오.
2. 다음으로 이 명령을 실행하여 Windows 이벤트 보안 로그의 모든 이벤트를 반환합니다.
명령이 검색하는 이벤트 수를 줄이고 프로세스 속도를 높이기 위해 MaxEvents 매개변수를 사용했습니다. 이 매개변수 없이 명령은 보안 이벤트 로그의 모든 이벤트를 반환하며, 이는 완료하는 데 상당한 시간이 걸릴 수 있습니다.
명령은 마지막 20개의 이벤트 로그를 검색하지만 결과 보고서는 특히 유용하지 않습니다.
3. 보고서의 유용성을 높이기 위해 FilterHashtable 매개변수를 사용하여 명령에 의해 검색된 정보를 필터링하는 해시테이블을 지정합니다. 샘플 명령:
이 명령은 보안 이벤트 로그에서 지난 1시간 동안 기록된 ID 4624 이벤트 로그를 검색합니다.
4. 마지막으로 위의 3단계 명령을 Export-Csv 명령에 파이프하여 CSV 파일로 이 보고서를 저장합니다. 명령을 실행하기 전에 CSV 파일의 경로를 변경하십시오.
또한 해시테이블의 다른 매개변수(예: id 및 LogName)를 수정하십시오.
이 명령은 AD 이벤트 로그를 분석하기 위해 검토할 수 있는 CSV 파일을 생성합니다.
또한 읽으십시오 그룹 정책을 사용하여 Active Directory 보안 강화
Active Directory (AD) 이벤트 로그 보기 및 추적 내용 결론
필수 Active Directory (AD) 이벤트 로그의 이해와 활용은 Windows 관리자에게 매우 가치가 있습니다.
과정에서 가장 중요한 단계는 그룹 정책을 통해 AD 이벤트 로그를 활성화하는 것입니다. 활성화된 후에는 Windows 이벤트 뷰어와 Windows PowerShell이 이러한 로그를 보고 추적하는 데 강력한 도구로 제공됩니다.
정기적으로 AD 이벤트 로그를 모니터링함으로써 관리자는 잠재적인 보안 위협, 네트워크 문제 또는 시스템 장애에 대한 유용한 통찰력을 얻을 수 있습니다. 또한 AD 이벤트 로그에서 발견된 문제를 해결하기 위해 선제적 조치를 취함으로써 네트워크의 원활한 작동, 보안 및 성능을 보장할 수 있습니다.
적절한 도구와 지식을 갖춘 관리자는 이러한 로그를 활용하여 잠재적인 문제에 대처하고 네트워크의 안정성을 보장할 수 있습니다.
Source:
https://infrasos.com/view-active-directory-ad-event-logs-and-what-they-track/