Windows Event Log - Event-ID 5136, Event 4662 filtern und benachrichtigen
Hallo,
wir würden gerne prüfen, ob auf dem Domain Controller die "Events" 5136, 4662 sich ereignen. (ob jemand "unerwünschte" Berechtigungen durchgeführt hat. Wegen einer Sicherheitslücke wäre es wichtig diese Infos für bestimmte Zeiträume
auszuwerten.)
Für die Analyse habe ich jetzt mal das Community Edition von Netwrix gefunden, möglicherweise sollte es aber auch mit der Ereignisanzeige von Windows selbst möglich sein ...
https://blog.netwrix.com/2016/12/15/security-tip-detect-permission-chang ...
vs.
https://www.netwrix.com/free_community_edition.html
Hat jemand Erfahrungen mit diesen beiden Optionen bezüglich Sicherheitsauswertungen?
Vielen Dank für eure Meinungen ...
LG
JoFla
wir würden gerne prüfen, ob auf dem Domain Controller die "Events" 5136, 4662 sich ereignen. (ob jemand "unerwünschte" Berechtigungen durchgeführt hat. Wegen einer Sicherheitslücke wäre es wichtig diese Infos für bestimmte Zeiträume
auszuwerten.)
Für die Analyse habe ich jetzt mal das Community Edition von Netwrix gefunden, möglicherweise sollte es aber auch mit der Ereignisanzeige von Windows selbst möglich sein ...
https://blog.netwrix.com/2016/12/15/security-tip-detect-permission-chang ...
vs.
https://www.netwrix.com/free_community_edition.html
Hat jemand Erfahrungen mit diesen beiden Optionen bezüglich Sicherheitsauswertungen?
Vielen Dank für eure Meinungen ...
LG
JoFla
Please also mark the comments that contributed to the solution of the article
Content-ID: 7163279927
Url: https://administrator.de/contentid/7163279927
Printed on: October 10, 2024 at 01:10 o'clock
3 Comments
Latest comment
Einfach mit deinem Filter einen Eventtrigger erstellen.
Und in der Aufgabe dann ein Skript starten das auf deine gewünschte Weise benachrichtigt.
Bsp. Task mit Mail senden
Habt ihr kein Monitoring-System? Eventlog-Events abfragen das kann heutzutage jedes Monitoring-System ...
Gruß
Und in der Aufgabe dann ein Skript starten das auf deine gewünschte Weise benachrichtigt.
Bsp. Task mit Mail senden
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
<RegistrationInfo />
<Triggers>
<EventTrigger>
<Enabled>true</Enabled>
<Subscription><QueryList><Query Id="0" Path="Security"><Select
Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=5136 or
EventID=4662)]]</Select></Query></QueryList></Subscription>
</EventTrigger>
</Triggers>
<Principals>
<Principal id="Author">
<UserId>S-1-5-18</UserId>
<RunLevel>LeastPrivilege</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<Duration>PT10M</Duration>
<WaitTimeout>PT1H</WaitTimeout>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec>
<Command>powershell.exe</Command>
<Arguments>-EP ByPass -C "Send-MailMessage -From 'user@domain.de' -to 'empfaenger@domain.de' -Subject 'Notification' -SmtpServer
smtp.domain.de -Credential (New-Object PSCredential('USERNAME',(ConvertTo-SecureString 'PASSWORD' -AsPlainText -Force)))
-UseSSL"</Arguments>
</Exec>
</Actions>
</Task>
Habt ihr kein Monitoring-System? Eventlog-Events abfragen das kann heutzutage jedes Monitoring-System ...
Gruß