No vídeo abaixo eu falo sobre auditoria do Active Directory e resolvi criar esse artigo para referencia sobre a dúvida de onde pesquisas e qual eventos habilitar, principalmente no caso dos:
- Eventos de Logon (Audit logon events)
- Eventos de Logon de Conta (Audit account logon events)
Eventos de Logon de Conta (Audit account logon events) é indicado para analise de tentativas de autenticação de conta em um controlador de domínio ou em um SAM local. Ao contrário dos Eventos de Logon (Audit logon events) que controlam as tentativas de acessar um computador específico.
No vídeo eu usei alguns eventos mais comuns e aqui no artigo vou deixar uma lista com os eventos mais recomendados para gerenciamento do Active Directory.
Gerenciamento do AD
- 4720: uma conta de usuário foi criada.
- 4722: uma conta de usuário foi habilitada.
- 4723: foi feita uma tentativa de alterar a senha de uma conta.
- 4724: foi feita uma tentativa de redefinir a senha de uma conta.
- 4725: uma conta de usuário foi desabilitada.
- 4726: uma conta de usuário foi excluída.
- 4738: uma conta de usuário foi alterada.
- 4740: uma conta de usuário foi bloqueada.
- 4765: o histórico de Sid foi adicionado a uma conta.
- 4766: falha na tentativa de adicionar o histórico SID a uma conta.
- 4767: uma conta de usuário foi desbloqueada.
- 4780: a ACL foi definida em contas que são membros de grupos de administradores.
- 4781: o nome de uma conta foi alterado.
- 4794: foi feita uma tentativa de definir a senha do administrador do modo de restauração dos serviços de diretório.
- 4798: A associação ao grupo local de um usuário foi enumerada.
- 5376: o backup das credenciais do Gerenciador de credenciais foi feito.
- 5377: as credenciais do Gerenciador de credenciais foram restauradas de um backup.
- 4731: um grupo local com segurança habilitada foi criado.
- 4732: um membro foi adicionado a um grupo local com segurança habilitada.
Eventos de Logon
- 4624: uma conta foi conectada com êxito.
- 4625: falha na conta ao fazer logon.
- 4648: houve uma tentativa de logon usando credenciais explícitas.
Quando acontece o evento 4624 é necessário conhecer o tipo de logon para identificação detalhadas:
| Tipo de logon | Nome do logon | Descrição |
| 2 | Interactive | Um usuário fez logon nesse computador. |
| 3 | Network | Um usuário ou computador fez logon nesse computador a partir da rede. |
| 4 | Batch | O tipo de logon Batch é usado por servidores batch quando podem haver processos sendo executados em nome de um usuário sem a sua intervenção direta. |
| 5 | Service | Um serviço foi iniciado pelo Gerenciador de Controle de Serviços. |
| 7 | Unlock | Essa estação de trabalho foi desbloqueada. |
| 8 | NetworkCleartext | Um usuário fez logon nesse computador a partir da rede. A senha do usuário foi transmitida ao pacote de autenticação em sua forma sem hash. Todos os pacotes de autenticação internos aplicam hash em credenciais antes de enviá-las pela rede. As credenciais não precisam atravessar a rede em texto simples (também conhecido como texto não criptografado). |
| 9 | NewCredentials | Um chamador clonou seu token atual e especificou novas credenciais para conexões de saída. A nova sessão de logon possui a mesma identidade local, mas usa credenciais diferentes para outras conexões de rede. |
| 10 | RemoteInteractive | Um usuário fez logon nesse computador remotamente usando serviços de terminal ou área de trabalho remota. |
| 11 | CachedInteractive | Um usuário fez logon nesse computador com credenciais de rede que estavam armazenadas localmente no computador. O controlador do domínio não foi contatado para verificar as credenciais. |
O mesmo vale para o evento 4625
| Tipo delogon | Nome de logon | Descrição |
|---|---|---|
| 2 | – | Um usuário conectado a este computador. |
| 3D | Rede | Um usuário ou computador conectado a este computador pela rede. |
| 4 | Processo | O tipo de logon em lotes é usado por servidores em lotes, onde os processos podem ser executados em nome de um usuário sem a sua intervenção direta. |
| 5 | Serviço | Um serviço foi iniciado pelo Gerenciador de controle de serviços. |
| 7 | Desbloquear | Esta estação de trabalho foi desbloqueada. |
| 08 | NetworkCleartext | Um usuário conectado a este computador pela rede. A senha do usuário foi passada para o pacote de autenticação em seu formato de não hash. A autenticação interna empacota todas as credenciais de hash antes de enviá-las pela rede. As credenciais não atravessam a rede em texto sem formatação (também chamado de texto não criptografado). |
| 222 | NewCredentials | Um chamador clonou seu token atual e especificou novas credenciais para conexões de saída. A nova sessão de logon tem a mesma identidade local, mas usa credenciais diferentes para outras conexões de rede. |
| 254 | RemoteInteractive | Um usuário conectado ao computador remotamente usando os serviços de terminal ou a área de trabalho remota. |
| 11:00 | CachedInteractive | Um usuário conectado ao computador com credenciais de rede que foram armazenadas localmente no computador. O controlador de domínio não foi contatado para verificar as credenciais. |
Boa tarde, Profª Donda.
Quanto tempo !
Boa tarde, Profª Donda.
Quanto tempo !
Gostaria de saber se existe um treinamento sobre Auditoria de AD no udemy ??
Não conheço nenhum !! Seria uma ótima lançar um desse, problema é tempo para isso!!