В целях безопасности я хотел бы отслеживать в моем домене Windows Active Directory любые новые «Защищенные учетные записи и группы». Согласно Microsoft, это касается любого пользователя или группы, которые прямо или косвенно являются членами этих указанных групп (источник). Чтобы добиться такого обнаружения, мне удалось собрать все журналы серверов Windows в моем SIEM после включения надлежащих настроек аудита.
В настоящее время я сосредоточен на мероприятии ID 4780 (ACL был установлен для учетных записей, которые являются членами групп администраторов. - источник). Опять же, согласно Microsoft, " Если ACL в основной учетной записи отличается от ACL в объекте AdminSDHolder, то ACL в основной учетной записи сбрасывается, чтобы соответствовать ACL в объекте AdminSDHolder, и это событие создается.". Таким образом, каждый раз, когда новый пользователь или группа помечаются как" защищенные ", он должен запускать этот идентификатор события.
Моя проблема вот что этот идентификатор события генерируется ежечасно для всех моих «привилегированных учетных записей» (см. изображение ниже), как определено по умолчанию процессом SDProp. Это касается всех встроенных групп (администратор домена, администратора схемы, ...), но также промежуточных настраиваемых групп, которые не являются непосредственно частью этих «встроенных защищенных групп». Поскольку эти события генерируются постоянно, мое обнаружение бесполезно. На рисунке ниже показано количество событий с идентификатором 4780 на пользователя или группу. Я взял его из другого домена, чтобы убедиться, что это не изолированное поведение.
В дополнение к этому, я также смотрел:
Так кто-нибудь еще достигает этой проблемы? Если да, то как вы это исправили? Какое другое решение я мог бы использовать для отслеживания любых новых «защищенных» объектов?