StefanWe 14 Geschrieben 22. März 2021 Melden Geschrieben 22. März 2021 Hallo, wir wollen einen Gesamtüberblick unserer Umgebung haben und möchten gerne alle sicherheitsrelevanten eventlog ids einsammeln und prüfen. anfangen würden wir mit den Domänen Controllern und adfs. gibt es da von Microsoft eine Best Practise Liste? Ist euch etwas bekannt? Ggf. irgendwo ein Blog Eintrag?
cj_berlin 1.508 Geschrieben 22. März 2021 Melden Geschrieben 22. März 2021 Moin, es gibt keine Event-ID für "ka**e ist am Dampfen". Alle IDs aus dem Auditing sind einzeln genommen harmlos und ergeben erst bei der Korrelation ein Bedrohungsbild. Hier ein Beispiel für 4727-4730: https://www.lepide.com/how-to/track-and-audit-active-directory-group-membership-changes.html Wenn Du sie z.B. in rascher Abfolge siehst, könnte es bedeuten, dass jemand sich irgendwo ein anderes Loch gebohrt hat. Und da muss man die anderen Events haben und sie damit korrelieren.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden