Wenn sich im Active Dirctory die Mitglieder von administrativen Gruppen ändern, dann sollte die Systemverwaltung unverzüglich davon erfahren. Gleiches gilt beim Zugriff auf Verzeichnisse eines File-Servers, der sensible Informationen enthält. Die Windows-Bordmittel bieten dafür aber nur rudimentäre Funktionen.
Aktiviert man etwa im AD das Auditing für Administratorkonten, dann zeichnet jeder Domain-Controller die konfigurierten Ereignisse im Eventlog auf. Von dort filtert man dann bestimmte Einträge anhand ihrer ID aus, meistens mit einem selbst geschriebenen Script. Will man die Logs für das ganze AD auswerten, dann muss man sie erst auf einem Server konsolidieren.
Tools von Drittanbietern
Spezialisierte Tools von Drittanbietern erfassen mit vorgefertigten Reports nicht nur ein größeres Spektrum von verdächtigen Aktivitäten, sondern ersparen dem Administrator obendrein das Erstellen und Warten von Scripts.
Zu den kritischen Vorgängen im Active Directory gehören vor allem fehlgeschlagene Anmeldeversuche, Änderungen von Passwörtern administrativer Konten und neue Mitgliedschaften in privilegierten Gruppen. Solche Aktivitäten sollten ebenso überwacht werden wie Manipulationen von GPOs.
Zugriffe auf Dokumente erkennen
Bestimmte Bedrohungen lassen sich nur entdecken, wenn Unternehmen auch die Dateien und Freigaben auf File-Servern überwachen. So fällt etwa die Aktivität von Ransomware dadurch auf, dass sie zahlreiche Dokumente in kurzer Zeit verändert, wenn sie diese verschlüsselt.
Gerade Insider-Angriffe trachten häufig danach, an vertrauliche geschäftliche Daten zu gelangen. Ein File-Server-Auditing für Verzeichnisse mit sensiblen Informationen bietet dort neben einem konsequenten Berechtigungs-Management einen guten Schutz gegen Datendiebstahl.
Das technische Webinar Angriffe auf das Unternehmensnetzwerk frühzeitig erkennen - Änderungen im AD nachvollziehen führt anhand von ManageEngine ADAudit Plus vor, wie sich unterschiedliche Bedrohungsszenarien rechtzeitig erkennen lassen.
Themen sind unter anderem:
- Logons und Logoffs überwachen
- Veränderungen an Usern, Gruppen oder Group Policy Objects überwachen und auditieren
- Herausfinden, wer wann welche Änderung im Active Directory vorgenommen hat
- Aktivitäten privilegierter Benutzer überwachen
- Datei- und Verzeichnis-Zugriffe auf File-Servern überwachen
- Reports anpassen und mit Filtern speichern
- Alarmierung bei sicherheitsrelevanten Aktivitäten einrichten
Die Veranstaltung fand am Dienstag, den 26. November 2019 statt und dauerte ca. 30 Minuten. Eine Aufzeichnung können Sie hier abrufen »
MicroNova bietet seit 1987 Software und Systeme für die Bereiche Automotive Testing, Management von Mobilfunknetzen sowie IT-Management. 300 Experten und Expertinnen arbeiten am Hauptsitz in Vierkirchen bei München sowie an neun weiteren Standorten in Deutschland und Tschechien