iT邦幫忙

0

Windows AD server log分析

想請問若想要針對AD server log分析,想要知道AD server 有無嘗試被攻擊,有什麼方向建議嗎?

目前想法是根據widows提供的event ID:
https://docs.microsoft.com/zh-tw/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor
來判斷每筆log的行為是否有異常,這個方向是正確的嗎?

另外我想請問,AD server 的log有辦法像apache log的一樣拋到Log server嗎?
還是都只能產出evtx檔?

謝謝

看更多先前的討論...收起先前的討論...
runan5678 iT邦研究生 5 級 ‧ 2021-01-07 10:38:56 檢舉
1. kiwi syslog 以前使用時好像有Agent可以幫忙處理丟到syslog server
2. 目前公司使用splunk處理,如有成本問題可考慮用Free的授權( 500MB限制)
3. 如容量大於500MB可以看看Graylog有沒有相關處理方式
嗨大大你好,公司目前是使用ELK,但現在問題在於AD管理給我log都是產evtx檔給我,而不是直接丟過來,所以想請問AD server是可以丟log的到log server的嗎?
NXLOG丟給ELK
runan5678 iT邦研究生 5 級 ‧ 2021-01-07 12:02:31 檢舉
這邊有參考文章 https://ithelp.ithome.com.tw/articles/10191552

2 個回答

3
CyberSerge
iT邦好手 1 級 ‧ 2021-01-07 13:26:59
最佳解答

來判斷每筆log的行為是否有異常,這個方向是正確的嗎?

方向正確,但是光靠單一筆log不夠,要能夠橫跨時間將來自不同設備的log、或同一設備的log交叉比對,才能抓出潛在的行為。

例如以下提到的Brute Force
https://resources.infosecinstitute.com/topic/top-6-seim-use-cases/

就是比對同一設備的log,短時間內偵測到多筆登入失敗紀錄;若是要偵測password spray,就需要編寫複雜一些的檢測規則。

等這些都熟悉了,可以玩honeytoken。我之前鐵人賽有介紹過:
https://ithelp.ithome.com.tw/articles/10218967

如果貴公司有Office365授權,不妨參考一下 Microsoft defender 身分識別
https://docs.microsoft.com/zh-tw/microsoft-365/security/mtp/microsoft-threat-protection?view=o365-worldwide

另外我想請問,AD server 的log有辦法像apache log的一樣拋到Log server嗎?
還是都只能產出evtx檔?

各家產品方法不一,有些SIEM產品需要安裝agent然後把log送過去log server,有些不需要安裝agent而是讓log server直接從遠端讀取。可以google "remote log collection on windows";ELK的話前輩們已經提供正解了:Winlogbeat。

我要發表回答

立即登入回答