Jump to content

Welche Eventlog ids sollten überwacht werden


Recommended Posts

Hallo,

 

wir wollen einen Gesamtüberblick unserer Umgebung haben und möchten gerne alle sicherheitsrelevanten eventlog ids einsammeln und prüfen. 
anfangen würden wir mit den Domänen Controllern und adfs. 
 

gibt es da von Microsoft eine Best Practise Liste? Ist euch etwas bekannt? Ggf. irgendwo ein Blog Eintrag?

Link to post

Moin,

es gibt keine Event-ID für "ka**e ist am Dampfen". Alle IDs aus dem Auditing sind einzeln genommen harmlos und ergeben erst bei der Korrelation ein Bedrohungsbild.

Hier ein Beispiel für 4727-4730:  https://www.lepide.com/how-to/track-and-audit-active-directory-group-membership-changes.html Wenn Du sie z.B. in rascher Abfolge siehst, könnte es bedeuten, dass jemand sich irgendwo ein anderes Loch gebohrt hat. Und da muss man die anderen Events haben und sie damit korrelieren.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...