审核 Active Directory：要跟踪的主要活动

审核 Active Directory 至关重要，因为 Active Directory (AD) 控制着 IT 王国的关键。事实上，正确监控 Active Directory 周围的活动在多个方面都至关重要，包括业务连续性、用户生产力、安全性和法规遵从性。

但审计 Active Directory 到底涉及哪些内容、需要跟踪哪些活动以及如何有效、可靠地实施审计 — 而又不会给您有限的 IT 资源带来负担或超出您的预算？我们将探索这一切以及更多。

为什么需要 Active Directory 审核？

Active Directory 提供您的员工完成工作和运行业务流程所需的基本身份验证和授权服务。 Active Directory 安全组和其他功能控制对 IT 生态系统及其资源的访问，Active Directory 组策略控制从软件安装和强制重新启动到密码要求和身份验证协议的一切。

因此，您需要确保 Active Directory 健康且安全。审核 Active Directory 通过收集和分析有关您的环境中的 Active Directory 配置和活动的数据来帮助您实现此目标。例如，有效审核 Active Directory 可以让您发现对高特权安全组的成员资格或关键组策略对象 (GPO) 设置的任何更改，以免造成代价高昂的业务中断、用户挫败、安全漏洞、合规处罚和其他损坏。

审核 Active Directory 时需要什么？

一个真正有效的 Active Directory 审计程序包括以下所有内容：

• 彻底、及时的数据收集 - 为了及时发现、调查和响应威胁，您需要掌握所有相关详细信息，包括每个事件的 5 个 W：谁、什么、何时、何地和发起工作站。
• 数据规范化 - 各种本机日志和有关 AD 中活动的其他数据源以不同的方式存储信息。为了理解这一切，您需要将数据标准化为通用格式。
• 关联和分析 - 为了发现威胁并了解事件的更广泛背景，单独查看每个系统中的活动是不够的。相反，您需要能够准确地关联和分析跨系统的活动。例如，要了解特定用户构成的威胁有多大，您需要能够评估他们在 IT 生态系统中的所有活动。
• 清晰高效的报告 - 要利用标准化数据和分析，您需要能够轻松创建清晰显示有效权限、域控制器 (DC) 配置、GPO 更改等的报告。
• 实时警报 - 最好的 Active Directory 审核解决方案不会等待您运行报告或查看仪表板；而是会等待您运行报告或查看仪表板。他们主动通知您有关威胁的信息，并提供您响应和遏制损害所需的关键详细信息。
• 主动措施 - 一些 Active Directory 审核工具更进一步：它们使您能够阻止对关键对象（例如重要的 GPO 和高特权组）的更改，并设置对威胁模式的自动响应（例如禁用正在执行与勒索软件相关的操作的帐户）。

如何审核 Active Directory 中的更改

Microsoft 提供两种类型的审核策略设置：

• 基本审核设置 - 这九个设置位于安全设置\本地策略\审核策略中。它们使您能够控制帐户登录事件、帐户管理、目录服务访问、登录事件、对象访问、策略更改、权限使用、进程跟踪和系统事件的审核。
• 高级策略设置—安全设置\高级审核策略配置中的 53 项设置使您能够定义更精细的 Active Directory 审核策略。例如，您可以审核组管理员更改包含财务信息的服务器上的设置的时间。您可以通过本地设备上的本地安全策略管理单元 (secpol.msc) 或使用组策略来访问这些设置。

警告：Microsoft 建议不要同时使用这两个选项，因为这样做可能会导致审核报告出现“意外结果”。

审核 Active Directory 时应跟踪哪些事件？

审核 Active Directory 的目标是发现可能对您的组织构成威胁的活动。但由于每个组织都有不同的优先级、风险承受能力、策略、人员配置等，因此没有明确的列表来明确要审核哪些事件或如何配置高级策略设置。 Microsoft 确实提供了有关如何配置高级审核策略设置以满足您的需求的指南。

以下是您想要包含在 Active Directory 审核流程范围内的关键事项的高级列表：

• 组策略更改 - 对组策略对象 (GPO) 进行任何未经授权或不正确的更改都可能危及组织的安全性、合规性和业务连续性。例如，一次不当更改可能会让攻击者无限制地尝试猜测您强大的管理员帐户的密码，使身份不明的用户能够连接到存储受监管数据的网络共享，或者允许使用可能释放勒索软件的 USB 设备。
• 对特权组的更改 - Active Directory 包括多个内置特权组，例如企业管理员和域管理员，这些组赋予其成员在 IT 环境中的重要权力。组织还可以创建自己的特权组来控制对敏感数据、应用程序和其他 IT 资产的访问。因此，监控这些强大团体的成员资格或权利的任何变化至关重要。
• 特权帐户的活动 - 管理员和其他特权用户可能无意或故意滥用其帐户，并对您的组织造成严重损害。此外，特权帐户是攻击者接管的主要目标。请记住还要审核所有具有提升权限的服务帐户的活动。
• 用户帐户锁定 - 虽然大多数用户帐户锁定并不表示存在威胁，但它们可能会扰乱业务流程。帐户锁定激增可能是网络受到暴力攻击的迹象。
• 创建新用户帐户 - 正在成长或变化的组织可能会进行大量合法的帐户配置活动。不过，请务必记住，创建新的 Active Directory 用户帐户会打开许多进入您的 IT 环境的大门，并警惕未经授权的活动。
• 对域控制器的更改 - 由于 DC 是 Active Directory 实际运行的地方，因此对这些服务器的不当更改可能会导致从身份验证速度减慢到灾难性中断等各种后果。另请注意，DC 托管 NTDS.dit 文件，该文件存储有关 AD 用户、组、计算机、密码哈希和目录配置的关键数据，因此您需要监视窃取该文件的尝试。
• 身份验证活动 - 跟踪用户登录和注销活动可帮助您了解正常用户行为并发现可能构成威胁的异常活动。监控较旧且风险较高的 NTLM 身份验证协议的使用情况也很重要，并发现利用 Kerberos 漏洞的尝试，这可能表明“黄金票证”和“传递票证”
• Azure AD 登录 - 在混合环境中，跟踪 Azure AD 中的登录和注销活动也至关重要。理想情况下，您希望将此活动与本地登录和注销事件相关联，以提供连贯的图片，从而发现更复杂的威胁。
• Azure AD 角色的更改 - 向用户分配 Azure AD 角色使他们能够访问和管理关键资源。及时发现对角色成员资格或特权的任何未经授权的更改至关重要，因为对手可能试图在环境中升级其权利。

我应该设置什么警报？

IT 生态系统是非常繁忙的地方，每天可能会发生数百万个事件。高级审核策略设置可以帮助您微调要监视的行为。例如，您可以执行您不太关心的活动或创建过多日志条目的活动。

尽管如此，在您收集的审计数据海洋中找到真正可疑的活动仍然是一个挑战。这既包括个别高风险异常事件，也包括代表真正威胁的更广泛的活动或相关事件链。

例如，对企业管理员等强大安全组的更改本身就有风险，而且通常很少见，因此对这些组的任何更改发出警报可能是有意义的。但是，每次向销售团队添加新成员时都发出警报可能没有意义，除非它是较大事件模式的一部分，表明 Active Directory 攻击中可能存在权限升级。同样，如果您的 IT 团队需要调查文件共享中内容的每次删除，他们可能很快就会陷入困境。但您可能希望在文件删除激增时提醒他们，这可能表明勒索软件攻击正在进行或心怀不满的员工试图损害您的业务。

你的灵活性越多越好。通过定制高级审核策略设置并使用提供活动上下文并提供自定义警报的 Active Directory 审核解决方案，您可以将真正的威胁归零并避免警报疲劳。

本机审计是否足够？

Microsoft 提供了一些有用的 Active Directory 审核功能，并且它们的优点是免费。但它们有许多重要的限制和缺点：

• 审计日志是分散的。 您需要将启用审核的每个域控制器 (DC) 中的单独安全事件日志汇总在一起。
• 审计数据不完整。 本机日志无法完全捕获 Active Directory 的关键方面。例如，它们记录发生的 GPO 更改事件，但不记录修改了哪些特定设置。
• 日志可能很嘈杂并且难以解释。 单个事件可以生成多个日志条目。此外，事件通常具有不相关或不清楚的信息，例如 GUID，而不是可识别的对象名称。
• 日志数据可能在您意识到需要它之前就消失了。 安全事件日志高度活跃并定期被覆盖。
• 分析有限。 使用 Windows 事件查看器，您可以查看审核数据并按特定条件（例如时间段、来源和用户）对其进行过滤。要使用日志条目中的任何其他数据，您需要构建 XML 查询或使用 PowerShell。
• 报告和警报是有限的。报告和警报可能不灵活且难以设置，并且在本地和云工作负载之间不一致。
• 了解混合环境需要手动关联。要发现混合环境中的威胁，必须全面了解整个 IT 生态系统的活动。对于本机选项，这通常需要手动尝试关联来自两个不同审核系统的活动：来自 DC 的日志和 Microsoft 365 审核流。

在 Active Directory 审核解决方案中寻找什么

许多组织选择投资专门构建的 Active Directory 审核解决方案。寻找一种能够克服上面列出的本机工具限制的解决方案。例如，它应该提供独立的数据收集，以捕获本机日志中丢失的审核数据，预构建的仪表板和报告，以简化掌握活动的工作，以及易于配置的警报，实时通知您有关可疑活动的信息。

如果您拥有混合 IT 环境，您将需要寻找一种工具，能够从本地日志和 Microsoft 365 统一审核日志中提取审核事件，对它们进行规范化和组合，并提供整个 IT 生态系统的统一视图。

除此之外，寻找一种解决方案来帮助您避免警报疲劳并快速发现真正的威胁。例如，虽然文件删除的激增可能表明存在勒索软件，但它也可能只是管理员清理陈旧文件的合法结果。创建新帐户可能是完全例行公事，也可能是对手创建了流氓后门帐户。可以考虑活动是否获得授权的警报非常有价值。

此外，检查该解决方案是否使您能够快速回滚不需要的更改，甚至使您能够主动阻止对最关键的 AD 对象（例如域管理员等强大组）的更改。

最后，寻找一个 Active Directory 审核解决方案，该解决方案具有可靠的防御能力，防止被破坏或滥用，包括所有系统登录、对其配置或操作的所有更改以及所有清除记录的尝试的完整记录。

结论

审核 Active Directory 对于安全性、业务连续性、用户生产力、法规遵从性和其他组织目标至关重要。虽然 Microsoft 提供了一些 Active Directory 审核功能，但投资正确的解决方案可以让您的宝贵 IT 专业人员花费更少的时间和精力实现更好、更快的威胁检测，从而获得回报。因此，您的组织可以避免代价高昂的违规、停机和合规处罚。