Jump to content

Logging aktivieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

ja, das habe ich verstanden. Aber in welchem Zusammenhang steht das? Was ist das übergeordnete Ziel? Welche Szenarien willst du abdecken?

 

Warum frage ich das? Damit wir einen Lösungsweg finden, der für dich passt. Denn die Antwort "guck doch in der GPMC oder auf dem DC nach" wird vermutlich nicht das sein, was du hören willst.

 

Gruß, Nils

 

Link zu diesem Kommentar

Moin,

 

du bist aber ein harter Fall. Antworten gibst du nicht gern, oder?

 

Warum würdest du in dem Fall ausgerechnet nach GPOs schauen? Und warum interessiert dich die Anmeldung eines DCs? Wenn Ransomware so weit ist, dass sie sich gültig an einem DC anmeldet, dann ist es ziemlich sicher für Reaktionen schon sehr spät.

 

Du wirst bei professioneller Monitoring-Software mit Sicherheit Sensoren finden, die bei sowas anschlagen. Wenn du das selbst bauen willst, könntest du das über die Anmelde- und die Objektüberwachung tun und auf die Einträge im Eventlog reagieren. Wenn keine harte, definierte Anforderung dahintersteht, rate ich aber davon ab. Der Aufwand zum Entwickeln ist hoch und die Überwachung kostet Leistung.

 

Gruß, Nils

 

Link zu diesem Kommentar
vor 4 Minuten schrieb NilsK:

Moin,

 

du bist aber ein harter Fall. Antworten gibst du nicht gern, oder?

 

Warum würdest du in dem Fall ausgerechnet nach GPOs schauen? Und warum interessiert dich die Anmeldung eines DCs? Wenn Ransomware so weit ist, dass sie sich gültig an einem DC anmeldet, dann ist es ziemlich sicher für Reaktionen schon sehr spät.

 

Du wirst bei professioneller Monitoring-Software mit Sicherheit Sensoren finden, die bei sowas anschlagen. Wenn du das selbst bauen willst, könntest du das über die Anmelde- und die Objektüberwachung tun und auf die Einträge im Eventlog reagieren. Wenn keine harte, definierte Anforderung dahintersteht, rate ich aber davon ab. Der Aufwand zum Entwickeln ist hoch und die Überwachung kostet Leistung.

 

Gruß, Nils

 

Hey,

 

sorry, das tut mir Leid. Eigentlich habe ich gedacht, dass die Antwort zur "Ransomware-Prävention" dir ausreichen würde. War keine absicht so karge Antworten zu schreiben.

Ich habe die Hoffnung gehabt, dass ich durch eine Logging/Monitoring-Software auf jeden Fall anomalien  zum Tagesgeschäft herausfinden könnte und ggf., auch wenn es vielleicht zu spät ist, was mitkriegen könnte und auch Rückwirkend daraus schlüsse ziehen könnte.

 

Was wäre denn eine prof. Monitoring-Software, die mir sowas abbilden kann? Auf selber bauen habe ich (eigentlich) keine Lust.

 

Gruß

Link zu diesem Kommentar

Moin,

 

ich glaube, du stellst dir das zu einfach vor. "Anomalieerkennung" ist etwas, wo es ganze Industriezweige gibt. Da ist man längst davon weg, einzelne Vorkommnisse aufdecken zu wollen. Intrusion Detection wird heute unter Einsatz Künstlicher Intelligenz gemacht. Microsofts ATA/ATP ist ein Beispiel dafür, es gibt aber auch zahlreiche andere Anbieter.

 

Wichtiger ist auch die Vorbeugung. Ist ein Angreifer erst mal soweit, dass er die von dir genannten Events auslösen könnte, dann ist er schon viel zu weit im System. 

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...