請問 windows 是否有內建自動檢測所有 AD 帳號行動軌跡,發出異常 mail 功能?
按照之前的發問跟爬文,已經可以追查誰刪除檔案了
Tracking down who removed files | Event Log Explorer blog
但是想要做到像
監測指定域名內每個 AD 帳號,如果在一天內大量刪除 200 個檔案,發 mail 給管理員
想詢問是否有 windows 內建的 GUI 功能,點選就能完成?
查詢過關鍵字 :
windows ad user delete file log email alert
資料還是以刪除文件 log 居多,沒有彙總警告功能
已邀請的邦友 {{ invite_list.length }}/5
你問的功能, 屬於 EDR 防守範圍, 不是作業系統廠商的責任:
ITHome 封面故事: 臺灣EDR崛起
如果要用微軟自家產品搭配的話, 那就是 Azure ATP:
使用 Azure 資訊安全中心 Microsoft Defender 進階威脅防護
Azure 資訊安全中心定價
或是 SIEM 也可以辦到:
IBM QRadar SIEM
以 Elasticsearch 的速度完成 SIEM
(SIEM 只做分析/偵測/報表, 做自動化阻擋要加上 SOAR 系統)
如果都不要, 那就是自己用 Powershell 慢慢刻一套自用的出來...
iThome鐵人賽
看影片追技術