iT邦幫忙

0

請問 windows 是否有內建自動檢測所有 AD 帳號行動軌跡,發出異常 mail 功能?

請問 windows 是否有內建自動檢測所有 AD 帳號行動軌跡,發出異常 mail 功能?

按照之前的發問跟爬文,已經可以追查誰刪除檔案了
Tracking down who removed files | Event Log Explorer blog

但是想要做到像
監測指定域名內每個 AD 帳號,如果在一天內大量刪除 200 個檔案,發 mail 給管理員

想詢問是否有 windows 內建的 GUI 功能,點選就能完成?

查詢過關鍵字 :
windows ad user delete file log email alert
xxx
資料還是以刪除文件 log 居多,沒有彙總警告功能

1 個回答

5
raytracy
iT邦大神 1 級 ‧ 2020-10-19 13:41:55
最佳解答

你問的功能, 屬於 EDR 防守範圍, 不是作業系統廠商的責任:
ITHome 封面故事: 臺灣EDR崛起

如果要用微軟自家產品搭配的話, 那就是 Azure ATP:
使用 Azure 資訊安全中心 Microsoft Defender 進階威脅防護
Azure 資訊安全中心定價

或是 SIEM 也可以辦到:
IBM QRadar SIEM
以 Elasticsearch 的速度完成 SIEM
(SIEM 只做分析/偵測/報表, 做自動化阻擋要加上 SOAR 系統)

如果都不要, 那就是自己用 Powershell 慢慢刻一套自用的出來...

再次感謝 raytracy 大神!

我要發表回答

立即登入回答