想請問若想要針對AD server log分析,想要知道AD server 有無嘗試被攻擊,有什麼方向建議嗎?
目前想法是根據widows提供的event ID:
https://docs.microsoft.com/zh-tw/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor
來判斷每筆log的行為是否有異常,這個方向是正確的嗎?
另外我想請問,AD server 的log有辦法像apache log的一樣拋到Log server嗎?
還是都只能產出evtx檔?
謝謝
已邀請的邦友 {{ invite_list.length }}/5
來判斷每筆log的行為是否有異常,這個方向是正確的嗎?
方向正確,但是光靠單一筆log不夠,要能夠橫跨時間將來自不同設備的log、或同一設備的log交叉比對,才能抓出潛在的行為。
例如以下提到的Brute Force
https://resources.infosecinstitute.com/topic/top-6-seim-use-cases/
就是比對同一設備的log,短時間內偵測到多筆登入失敗紀錄;若是要偵測password spray,就需要編寫複雜一些的檢測規則。
等這些都熟悉了,可以玩honeytoken。我之前鐵人賽有介紹過:
https://ithelp.ithome.com.tw/articles/10218967
如果貴公司有Office365授權,不妨參考一下 Microsoft defender 身分識別
https://docs.microsoft.com/zh-tw/microsoft-365/security/mtp/microsoft-threat-protection?view=o365-worldwide
另外我想請問,AD server 的log有辦法像apache log的一樣拋到Log server嗎?
還是都只能產出evtx檔?
各家產品方法不一,有些SIEM產品需要安裝agent然後把log送過去log server,有些不需要安裝agent而是讓log server直接從遠端讀取。可以google "remote log collection on windows";ELK的話前輩們已經提供正解了:Winlogbeat。
請他裝 Winlogbeat 直接把 log 送給你的 ELK:
https://www.elastic.co/beats/winlogbeat
https://burnhamforensics.com/2018/11/18/sending-logs-to-elk-with-winlogbeat-and-sysmon/
iThome鐵人賽
看影片追技術