Visualizar Logs de Eventos do Active Directory (AD) e o Que Eles Rastreiam

Tutoriais

Visualizar Logs de Eventos do Active Directory (AD) e o Que Eles Monitoram. O que são os logs de eventos do Active Directory e suas funcionalidades de rastreamento? Você obtém insights sobre o estado de saúde do AD monitorando os logs de eventos do AD.

Além disso, os logs de eventos do AD ajudam a identificar possíveis ameaças de segurança antes que se materializem.

Para auditar eventos do AD, você deve primeiro entender os logs de eventos disponíveis e as informações que eles rastreiam. Na primeira seção deste artigo, eu explico os logs de eventos do Active Directory e os dados que eles oferecem. Na segunda, exploramos como visualizar logs de eventos. No entanto, você deve habilitar Active Directory auditoria através de Política de Grupo para habilitar o AD a registrar eventos no log de Eventos do Windows.

No segundo, exploramos como visualizar logs de eventos. No entanto, você deve habilitar Active Directory auditoria por meio de Política de Grupo para habilitar o AD a registrar eventos no Windows Events log.

Como resultado, começo a seção 2 deste guia demonstrando como habilitar políticas de auditoria do Active Directory usando política de grupo. Além disso, exploro as 2 opções para visualizar e analisar logs de eventos do AD – Windows Event Log Viewer e PowerShell.

Logs de Eventos Essenciais do Active Directory (AD) e O Que Eles Rastreiam

Dependendo dos eventos específicos que você deseja que o AD registre, você configura as Políticas de Auditoria ou de Auditoria Avançada no Group Policy. Isso significa que as informações registradas nos logs de eventos do AD dependem das políticas de auditoria que você habilitou.

Este artigo aborda as políticas de auditoria fundamentais Audit Policies que uma organização habilita e começa a rastrear as atividades do AD. Se você estiver interessado em aprender sobre Políticas de Auditoria Avançada, visite este link – Advanced Audit Policies.

As Políticas de Auditoria que discuto estão localizadas na seguinte rota no Editor de Gerenciamento de Política de Grupo:

Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Audit Policy

Existem 9 políticas dentro da Política de Auditoria, mas me concentro em 4 que atendem aos requisitos de auditoria da maioria das organizações. Além disso, vou abordar os logs de eventos que Controladores de Domínio geram uma vez que uma política seja habilitada, as informações que capturam e como você os utiliza.

Auditar Eventos de Logon de Conta (Event Logs 672 a 683)

Se você deseja Domínio Controladores para registrar (no local log de eventos de segurança) cada vez que ele autentica um usuário, computador ou conta de serviço, habilite a Política de auditoria de eventos de logon de conta para Sucesso e Falha. Ao ser habilitada, na Política Padrão de Controladores de Domínio, o Controlador de Domínio registra o evento sempre que autentica um usuário, computador ou conta de serviço autentica no domínio.

Habilitar essa política pode registrar o ID do log de eventos 672 a 683 no log de eventos de segurança local do DC. Para ler os eventos e o que eles registram, visite Configure esta configuração de auditoria.

Quando você habilita a política Registrar eventos de logon da conta, os Controladores de Domínio (DCs) registram inúmeros logs de eventos, já que seus usuários constantemente entram e saem do domínio. A princípio, isso pode parecer desnecessário, mas a Microsoft recomenda habilitar eventos de sucesso e falha para esta política.

Além disso, mais adiante neste artigo, eu mostro como filtrar logs de eventos para retornar os eventos que você deseja analisar.

Auditoria de Gerenciamento de Contas (Eventos de Log 4720 a 4780)

Os logs de eventos de Gerenciamento de Contas registram mudanças que os administradores fazem em usuários, computadores ou grupos no Active Directory. Alguns exemplos de eventos de gerenciamento de contas são: Um administrador cria, modifica ou exclui uma conta de usuário ou grupo.Alguém na central de serviços define ou altera uma senha.

Um administrador cria, modifica ou exclui uma conta de usuário ou grupo.
Alguém no atendimento ao cliente define ou altera uma senha.
Um administrador habilita, desabilita ou renomeia um grupo ou conta de usuário.

Para configurar DCs para registrar esses eventos, habilite os eventos Auditoria de gerenciamento de contas para sucesso e/ou eventos de falha. Habilitar essa política na Política Padrão de Controladores de Domínio força os Controladores de Domínio a registrar eventos 4720 a 4780 em seu log local de segurança.

Auditoria de Acesso ao Serviço de Diretório (Logs de Eventos 4661 e 4662)

A política de segurança Audit Directory Service Access especifica que, se um audit DC tenta por usuários acessar objetos do Active Directory. Além disso, quando você ativa essa política de segurança em Controladores de Domínio, eles registram logs de eventos 4661 ou 4662.

Os DCs geram o ID de Evento 4661 quando um usuário solicita um identificador para um objeto. Por outro lado, quando uma operação é realizada em um objeto do Active Directory, um DC registra o ID de Evento 4662.

Na prática, use o Evento ID 4661 para rastrear tentativas de acesso não autorizado a objetos do AD. Isso ajuda você a rastrear tentativas de acesso a objetos sensíveis no Active Directory.

Da mesma forma, se você precisar acompanhar ações realizadas em principais de segurança do AD (usuário ou grupo), monitore o evento 4662. Monitorando esse evento, pode fornecer informações valiosas sobre alterações em contas de usuário, associações de grupo e atualizações em políticas de grupo.

Isso ajuda administradores de sistemas a detectar e analisar atividades potencialmente maliciosas. Além disso, o evento 4662 pode ajudar os administradores a acompanhar as alterações feitas no sistema ao longo do tempo, que podem ser usadas para conformidade e finalidades de auditoria.

Log de Eventos de Auditoria (Log de Eventos 4624 a 4779)

Ao habilitar a política de segurança “Auditoria de Eventos de Logon“, um computador registra todas as vezes que um usuário faz login ou logout. Se essa política estiver habilitada em um Controlador de Domínio, captura atividades de login e logout de contas de usuário no DC.

Além disso, quando uma conta de domínio é usada para logons interativos em um servidor membro ou estação de trabalho, gera um evento de logon no controlador de domínio.

Depois da discussão anterior sobre “Auditoria de Eventos de Logon de Conta“, muitos leitores ficaram curiosos sobre as distinções entre “Auditoria de Eventos de Logon de Conta” e “Auditoria de Eventos de Logon”.

A política de segurança “auditoria de eventos de logon” determina se deve ser registrado cada instância de login e logout de um usuário em um dispositivo.

Por outro lado, a política de segurança auditoria de eventos de logon de conta determina se registrará cada instância de um usuário fazendo login ou logout de outro dispositivo onde o dispositivo é usado para validação de conta ou autenticação.

Se você habilitar a política de auditoria de logon eventos em Controladores de Domínio, eles geram eventos de logon de conta de domínio, seja no DC ou em um workstation. No entanto, habilitar auditoria de logon de conta eventos em DCs faz com que atividades de logon de conta que são autenticadas em um controlador de domínio sejam registradas.

A política de segurança auditoria de logon de conta gera IDs de log de eventos 4624 a 4779.

Habilite e Veja os Logs Essenciais do Active Directory (AD)

Esta seção aborda os passos para usar política de grupo para habilitar os logs de eventos Active Directory que discuti na seção anterior. Depois disso, explico como utilizar o Windows Event Viewer e o PowerShell para visualizar e analisar os logs de eventos do AD.

Habilitar Logs de Eventos do AD por meio da Política de Grupo

1. Abra o Console de Gerenciamento de Política de Grupo. Abra-o de 2 maneiras: pesquisando “Gerenciamento de Política de Grupo” ou através do Gerenciador de Servidores.
2. No Console de Gerenciamento de Política de Grupo, vá para Controladores de Domínio e expanda o contêiner.
3. Em seguida, clique com o botão direito na política Controladores de Domínio Padrão e escolha Editar. No entanto, se você não deseja editar, faça uma cópia indo para o contêiner Objetos de Política de Grupo e expandindo-o.

Depois disso, arraste a política Controladores de Domínio Padrão para o contêiner Objetos de Política de Grupo para copiá-la. Renomeie a política copiada e, em seguida, arraste-a para o contêiner Controladores de Domínio para aplicar o GPO ao contêiner.

Essa abordagem permite que você modifique a política copiada em vez da política original padrão Controladores de Domínio.

4. Quando o GPO for aberto para edição, navegue até o caminho abaixo:

Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Audit Policy

5. Em seguida, configure as seguintes políticas:

Auditoria de gerenciamento de conta: Sucesso;Auditoria de acesso ao serviço de diretório: Sucesso;Auditoria de eventos de logon: Sucesso e Falha;Auditoria de Eventos de Logon de Conta: Sucesso e Falha.

As políticas acima devem corresponder à captura de tela abaixo.

Por fim, abra um prompt de comando no Domínio Controlador que você deseja aplicar a política GPO configurada e execute o comando gpupdate com a sintaxe /force.

gpupdate /force

Se você deseja ver uma lista das políticas de auditoria atualmente configuradas no DC, execute o comando abaixo.

auditpol /get /category:*

Exibir e Rastrear os Eventos Essenciais do Active Directory com o Visualizador de Eventos do Windows

Procure e abra Visualizador de Eventos.

2. Em seguida, abra Windows Log -> Segurança – Os Controladores de Domínio registram eventos de auditoria no Windows log de segurança. Como existem vários logs de eventos, a maneira mais eficaz de analisar os eventos é usando a opção de filtragem.

3. Para filtrar o log de eventos, clique com o botão direito no log de eventos de segurança e escolha Filtrar Log Atual.

4. Por último, filtre os logs de eventos pelos IDs de eventos. Por exemplo, para visualizar todos os logons de conta bem-sucedidos, insira 4624 no campo <Todos os IDs de Eventos>.

Além disso, filtre os eventos pela data em que foram registrados. Para fazer isso, clique no menu suspenso Hora Registrada e escolha uma data pré-definida ou opte pelo Intervalo Personalizado para inserir manualmente um intervalo de datas.

Os dados são exibidos, se o log de eventos contiver registros que correspondam aos filtros aplicados.

Visualizar e acompanhar os logs essenciais de eventos do AD com o Windows PowerShell

PowerShell oferece uma opção robusta para visualizar logs de eventos do Active Directory, com filtros e capacidades de exportação de relatórios mais avançadas do que a ferramenta Visualizador de Eventos do Windows. Além disso, o PowerShell oferece vários cmdlets para visualizar logs de eventos, mas neste artigo, utilizamos o cmdlet Get-WinEvent.

Use este cmdlet para visualizar logs de eventos do AD:

1. Abra o PowerShell com permissões de administrador, procure por “PowerShell do Windows” e clique em “Executar como administrador”.
2. Em seguida, retorne todos os eventos no log de segurança do Windows Event ao executar este comando.

Get-WinEvent -FilterHashtable @{LogName = 'security'; Id=4624; StartTime=(Get-Date).AddHours(-1)}

Para minimizar o número de eventos que o comando recupera e acelerar o processo, utilizei o parâmetro MaxEvents. Sem este parâmetro, o comando retorna todos os eventos nos logs de eventos de segurança, o que poderia levar muito tempo para ser concluído.

O comando recupera os últimos 20 logs de eventos, mas o relatório resultante não é especialmente informativo.

3. Para aumentar a utilidade do relatório, utilize o parâmetro FilterHashtable para especificar um hashtable que filtra as informações recuperadas pelo comando. Um comando de exemplo:

Get-WinEvent -FilterHashtable @{LogName = 'security'; Id=4624; StartTime=(Get-Date).AddHours(-1)}

Este comando recupera os logs de eventos com ID 4624 que foram registrados nas últimas horas a partir do log de eventos de Segurança.

4. Por fim, salve este relatório em um arquivo CSV redirecionando o comando do passo 3 acima para o comando Export-Csv. Antes de executar o comando, altere o caminho para o arquivo CSV.

Além disso, modifique outros parâmetros na tabela de hash, como o id e o LogName.

Get-WinEvent -FilterHashtable `
@{LogName = 'security'; Id=4624; StartTime=(Get-Date).AddHours(-1)} | `
Select-Object TimeCreated, ProviderName, Id, @{Name='Message';Expression={$_.Message -replace '\s+', " "}} | `
Export-Csv E:\ADReports\ADEventlogs4624.CSV -NoTypeInformation

O comando cria um arquivo CSV que você pode revisar para analisar os logs de eventos do AD.

Conclusão: Visualizar Logs de Eventos do Active Directory (AD) e o que eles rastreiam

Entender e aproveitar os logs de eventos essenciais do Active Directory (AD) event logs são extremamente valiosos para administradores Windows.

O 1 passo crucial no processo é habilitar os logs de eventos do AD por meio da política de grupo. Uma vez habilitados, o Visualizador de Eventos do Windows e Windows PowerShell oferecem 2 ferramentas poderosas para visualizar e rastrear esses logs.

A monitoração regular dos logs de eventos do AD permite que os administradores obtenham informações úteis sobre possíveis violações de segurança, problemas de rede ou falhas do sistema. Além disso, adotar medidas preventivas para resolver quaisquer problemas encontrados nos logs de eventos do AD ajuda a garantir o funcionamento suave da rede, sua segurança e desempenho.

Com as ferramentas e conhecimentos adequados, os administradores aproveitam esses logs para ficar por cima de possíveis problemas e garantir a estabilidade de sua rede.

Source:
https://infrasos.com/view-active-directory-ad-event-logs-and-what-they-track/