Windows-Netzwerke: Geheimnisse des Windows-Ereignisüberwachung
Durch die Anforderungen hinsichtlich Zugriffssteuerung, Einhaltung von Richtlinien und die zunehmende Komplexität von Netzwerken ist eine Ereignisüberwachung wichtiger als je zuvor.
David Rowe
Die riesige Menge von Audit-Zugriffsanforderungen wächst stetig an. Also, auch die Fragen, die Zugriff auf Unternehmensdaten, wie z. B. Umgebung tun:
- Wer hat Zugang zu dem, was?
- Wer greift die Daten?
- Was Kontrollen durchgeführt, um die Verwaltung von Berechtigungen werden?
Diese Fragen – und andere – so häufig ein Teil des IT-Diskussionen als Server-Kapazität oder Software-Bereitstellung geworden.
Zwar Audit-Anforderungen nicht zu ignorieren, bleiben die Taktik, die einen idealen Ansatz für Ihre spezifischen Anforderungen sind schwer zu findenden. Alle Organisationen unterschiedlich an Anwendungen, Firewalls, Netzwerk-Konfiguration und andere Feinheiten. Die meisten gemeinsame Nutzung von grundlegende Komponenten, einschließlich Microsoft Active Directory und seine verwandten Windows-Dateisysteme.
Windows und Active Directory sind die Klammern in praktisch jedes Unternehmen geworden. Überwachen von Sicherheitsereignissen auf diesen Plattformen ist eine weit verbreitete Herausforderung für fast jedes IT-Manager relevant. Die offensichtlichen Lösungen präsentieren jedoch verborgene Herausforderungen.
Microsoft Windows Server, einschließlich Active Directory, haben die integrierte Funktionen der Ereignisprotokollierung. Sie können diese Ereignisprotokolle erfassen kritische Sicherheitsereignisse, z. B. das Erstellen von Benutzer Konten und Sicherheitsrichtlinien Änderungen der Gruppenmitgliedschaft konfigurieren. Allerdings ist eine anspruchsvolle Aufgabe, die richtige Informationen in der richtigen Weise erfassen, so dass Sie darauf reagieren können. Es gibt eine Reihe von Schritten, die Sie ergreifen müssen, konfigurieren die Windows-Ereignisprotokollierung. Die Ergebnisse können auch dann unbefriedigend sein.
Konfigurieren Sie die Windows-Ereignisprotokollierung
Devise um Audit-Antwort: einfach alles erfassen, die aus allen Systemen geschieht. Aktivieren Sie die Protokollierung, und setzen Sie einen Mechanismus vorhanden, um Protokolle in einige langfristige Lagerung-Format zu konvertieren, die durchsucht werden, für die Berichterstellung verfügbaren und bequem für die Archivierung.
Sicherheitsinformations- und Ereignismanagement (SIEM) und Protokoll-Management-Lösungen werden in der Regel diese Codezeile denken abonnieren. Dies gibt ihnen den Vorteil, in der Lage, auf Monitor Hunderte von Lösungen von verschiedenen Anbietern – Netzwerk-Hardware, Software-Anwendungen – mit einem gemeinsamen Ansatz. Selbstverständlich ist das Implementieren dieser Ansatz leichter gesagt, als getan.
Hier sind einige Schritte, die Sie sollten beim Konfigurieren von Windows und Active Directory-Ereignisprotokollierung, ob für die Integration mit SIEM-Lösung oder einfach für die künftige Überwachung zu erfassen.
1. Bestimmen Sie die Ereignisse, die Sie benötigen.
Zunächst müssen Sie verstehen, welche Ereignisse Sie nachverfolgen müssen. Sie müssen auch die zugehörigen Ereignis-Bezeichner (IDs) zu sammeln. Erschweren diese Aufgabe ist, dass die Ereignis-ID-Nummerierung zwischen Versionen von Windows unterscheidet. Beispielsweise verwendet Windows Server 2008 vierstellige Ereignis-IDs zusammen mit Audit-Unterkategorien für jeden der wichtigsten Überwachungskategorien.
Es gibt viele Ereignisse, die einander ähnlich aussehen, so dass Sie wirklich wissen, dass Sie das richtige Ereignis anmelden müssen. Eine einzelne Aktion wird häufig zahlreiche Ereignisse im Protokoll generiert, so ist es wichtig zu verstehen, die Wechselbeziehung zwischen der Ereignis-IDs.
Die Unterkategorien in Windows Server 2008 können hilfreich sein, da Sie die Überwachung für einige Ereignisse, andere jedoch nicht aktivieren können. Dies ist ein Schritt in die richtige Richtung für die Überwachung von Microsoft. Statt alle Ereignisse der Kontenverwaltung gleich zu behandeln, können Sie z. B. Aktivieren der Überwachung für die Verwaltung von Sicherheitsgruppen aber deaktivieren die Prüfung auf Distribution Group Management.
Sie müssen ein Befehlszeilen-Tool zu verwenden, um die Überwachungseinstellungen auf die Unterkategorien zu übernehmen. Sie wird nicht noch erweiterte erhalten Filterfunktionen, wie z. B. Benachrichtigungen über Änderungen Risikogruppen oder von einer Teilmenge von Benutzern durchgeführten Aktionen.
Es gibt auch Account-Management-Überwachungsereignisse und Active Directory-Zugriff-Audit-Ereignisse, die sich überlappen. Das komplizierte Angelegenheit. Wenn beide aktiviert sind, können Sie sehen, mehr doppelten Ereignisse, die schafft Verwirrung darüber, wo die besten Ereignisdaten zu finden. "Vor" und "Nach" Werte auf verschiedene Ereignisse geschrieben werden. In vielen Fällen müssen Sie mehrere Ereignisse auch grundlegende Fragen beantworten zu korrelieren.
2. Aktivieren der Überwachung für die gewünschten Objekte
Wenn Sie wissen, dass die Gruppe von Ereignissen, die Sie überwachen und die zugehörigen Ereignis-IDs haben möchten, müssen Sie zum Aktivieren der Überwachung auf die Objekte selbst. In einigen Fällen könnte die Standardeinstellungen genug sein.
Sie können Überwachungseinstellungen auf Basis von Objekt verwalten, daher es wichtig ist zu verstehen, was die Überwachungseinstellungen konfiguriert werden und wirken sich alle Änderungen, die Sie benötigen für Ihre Anforderungen. Angenommen, können Sie mit der rechten Maustaste auf ein Objekt navigieren Sie zu der Registerkarte "Sicherheit" und klicken Sie auf "Erweitert". Dies lässt Sie die Änderungen auf der Registerkarte Überwachung wie z. B. dass geerbten Überwachungseinstellungen von übergeordneten Objekten oder Hinzufügen von bestimmten Überwachungseinstellungen zu diesem Objekt oder alle untergeordneten Objekte zu übernehmen.
Mit anderen Worten, wenn Sie die Überwachung auf Sicherheitsgruppen aktiviert haben, müssen Sie noch um sicherzustellen, dass die Überwachung für diese bestimmte Security Group-Objekte aktiviert ist. In der Regel ist das Aktivieren der Überwachung für Verzeichnisobjekte so einfach wie "Kontenverwaltung überwachen", in dem entsprechenden Gruppenrichtlinienobjekt aktivieren. Denken Sie daran, aber, dass Audits, die Einstellungen in verschiedenen Windows-Versionen abweichen. Wenn Sie eine gemischte Umgebung haben, müssen Sie unbedingt die entsprechenden Audit-Einstellung-Anweisungen finden Sie in die Dokumentation. Darüber hinaus stellen Sie sicher, dass Ihre Überwachungsrichtlinien auf jeder Active Directory-Domänencontroller richtig konfiguriert sind.
Sie können auch den Active Directory Service Interfaces Editor oder ADSI-Bearbeitung, ein Flag "nicht audit" auf Attribute angewendet, die Sie außerhalb des Überprüfungsprozesses filtern möchten. Dies entfernt alle Überwachung dieses Attributs für alle Objekte, tun Sie dies sorgfältig. Beispielsweise wird nicht Sie administrativen Benutzerkonten und anderen Konten unterscheiden können.
3. Konfigurieren der Ereignisprotokolleinstellungen
Der dritte Schritt ist zum Konfigurieren der Protokolleinstellungen. Sie müssen die entsprechenden Zugriffsberechtigungen festlegen, so dass fortgeschrittene Benutzer möchten Sie um ihre Spuren zu verwischen Protokolle, um ihre Spuren nicht deaktivieren können. Wenn die Protokoll-Sicherheitsrichtlinien nicht aktiviert ist, verfügt jeder authentifizierter Benutzer ausreichende Zugriffsrechte auf die schreiben und klare Anwendungsprotokollen. In der Standardeinstellung können System- und Sicherheitsprotokolle nur von Systemsoftware oder Administratoren gelöscht werden.
Außerdem müssen Sie die maximale Größe und Aufbewahrung Regeln basierend auf Ihren Anforderungen und der jeweiligen Umgebung festlegen. Diese Einstellungen können Sie steuern, wie groß Log-Dateien wachsen können und was passiert, wenn sie diese maximale Größe erreicht. Dies ist entscheidend, da Sie Ihre Systeme Protokoll Auflistung, um die Protokolle effizient managen zu können müssen. Wenn sie zu groß werden, können Protokolle erheblich die Leistung des Servers sinken.
Systemprotokolle sind für einfache Suche, flexibles reporting oder langfristige Archivierung nicht ideal geeignet. Sie sind vorbehaltlich der richtige und sorgfältige Konfiguration. Angenommen, alles perfekt bereitgestellt und verwaltet wird, sollten Sie möglicherweise zum Sammeln von Daten müssen Sie im Zusammenhang mit audit reporting. Extrahieren nützlichen Informationen und die Generierung von umsetzbaren Ergebnisse aus diesen Daten ist eine völlig neue Herausforderung.
Beispielsweise generiert eine einzelne Aktion oft mehrere Protokollieren von Ereignissen. Dies macht es schwierig, bestimmte Aktionen, wie z. B. ein Benutzer zu unterscheiden, die nicht in die Finance-Abteilung den Zugriff auf Dateien der Finanzabteilung. Jedes Ereignis ist mit einer Ereignis-ID und die Sprache, die oft kryptisch ungeschulten Business Managern und Prüfer scheint beschriftet. Müssen Sie verbringen viel Zeit und Aufwand übersetzen Protokolldaten während der Prüfung oder die Rechtsinhaberschaft prüfen Prozesse.
Es ist auch die Überlegung, dass Ereignisprotokolle nur einen kleinen Teil erfassen dessen, was geschieht. Beispielsweise kann ein vordefinierter Satz von Objekt- und Attributdaten Änderungen in Active Directory, die im Sicherheitsereignisprotokoll angezeigt werden. Eine Änderung an das Description-Attribut auf eine Sicherheitsgruppe erscheint nicht im Protokoll.
Sie können potenziell konfigurieren, Ereignisprotokolle, um Änderungen an Attributen zu erfassen, die nicht standardmäßig verfügbar sind, aber die meisten Organisationen nicht. Dadurch wird eine Schicht von Verwaltung und Konfiguration, die Kopfschmerzen verursachen können. Protokolle lassen auch häufig kritische Informationen, wie z. B., wer es getan hat, oder was der Wert vor der Änderung aufgetreten ist (falls Sie zurückgreifen müssen).
SIEM und Protokoll-Management-Lösungen können manchmal die Situation verbessern, da Protokolle einfacher suchen, Bericht und archivieren. Viele Organisationen unterschätzen den Anfangs- und Folgekosten Aufwand, die Antworten zu erhalten, die sie benötigen.
In einigen Organisationen noch möglicherweise der beste Ansatz darin, dass die Kosten und Aufwand gegen das Endergebnis abgewogen werden können – langfristige Speicherung der Ereignisprotokolle auf potenziell Hunderte von Systemen und die Möglichkeit, Access Control, Aufbewahrung und Compliance-Anforderungen zu erfüllen. Wenn Ihr Hauptziel der Windows-Netzwerkumgebung ist, und Sie sich einfacher reporting, geringere Kosten und Aufwand und eine bessere Kontrolle über die Beantwortung von Ereignissen möchten, gibt es eine Alternative.
Ein alternativer Ansatz
Was Sie wirklich brauchen, ist Informationen nicht Protokolle. Beginnen Sie nicht den Prozess nachzudenken, wie am besten Protokolle zu sammeln. In Anbetracht der echten menschlichen Aktionen für Ihr Unternehmen wichtig, um zu starten. Neu entstehen von Benutzerkonten wichtig? Möchten Sie wissen, wer die Mitgliederlisten von Security-Gruppe geändert wird? Müssen Sie wissen, wer Sie zur Gruppe hinzufügen sollten? Kümmern Sie sich ein Mitglied der Abteilung öffnet eine Datei, die für diese Abteilung relevant? Möchten Sie wissen, wann Ihre IT-Gruppe die Daten zugreifen? Diese Fragen sind wichtig.
Beschränken Sie sich, was in den Ereignisprotokollen angezeigt wird. Sie können was Sie die Antworten auf diese Art von Fragen ist wirklich, nachdenken. Sie benötigen Antworten auf Fragen und Informationen, die nutzbare und nicht-IT-Personal verständlich ist.
Durch das Sammeln von Informationen aus der Quelle anstelle von Ereignisprotokollen, erhalten Sie Zugriff auf Weitere Informationen, bessere Informationen und einen zuverlässigeren und konsistenten Ansatz. Es ist auch einfacher zu verwalten, da keine Überwachungseinstellungen oder numeric Event IDs vorhanden sind.
Wenn Sie eine Enterprise-Protokoll-Management benötigen, können Sie Organisieren von Informationen für eine einfache Integration und laden. Sie würden helfen den Prozess etwas durch Ausfiltern unerwünschten Daten und bietet genau die erforderlichen in einem leicht lesbaren Format.
Überwachung ist nicht für die sanften
Zwar Sicherheitsereignisinformationen eindeutig nützliche und wichtige, präsentiert die Erfassung dieser Informationen aus der Windows-Ereignisprotokollierung eine Reihe von Herausforderungen und erheblichen Aufwand. Diese Herausforderungen können mit genügend Zeit, Aufwand und Kosten verwaltet werden. Das Endergebnis können aber immer noch das Ziel verpasst.
Erfassung von Ereignisinformationen ohne Rückgriff auf Ereignisprotokolle hilft Ihnen, die Antworten generieren erzielen, ohne die Implementierung und Verwaltung von Windows-Ereignisprotokoll-Sicherheitsüberwachung. Der herkömmliche Ansatz generiert Daten. Verbesserte Ansatz erstellt Antworten mit weniger Aufwand bessere Berichterstattung und umsetzbare Informationen.
.jpg)
**David Rowe**ist die Überwachung der CEO von NetVision, ein Privatunternehmen, Compliance und Kontrolle Lösungen für Enterprise Access. Rowe bekleidete Director, Berater und Executive-Rollen auf verschiedene Startups, einschließlich Imperva, Cerberian, PS'Soft, Doyenz Inc. und Avinti, Inc. Zuvor war er als chief marketing Officer für Trend Micro Inc., und Business Unit Manager und Director of Marketing, Produkte und Business Development für Intel Corp. in den Vereinigten Staaten von Amerika, Japan, Europa und Israel.