josephusflavius
May 15, 2023, updated at 13:31:43 (UTC)
view2020
view3
0
Goto Top

Windows Event Log - Event-ID 5136, Event 4662 filtern und benachrichtigen

GermansolvedQuestionSecurity Tools
Hallo,

wir würden gerne prüfen, ob auf dem Domain Controller die "Events" 5136, 4662 sich ereignen. (ob jemand "unerwünschte" Berechtigungen durchgeführt hat. Wegen einer Sicherheitslücke wäre es wichtig diese Infos für bestimmte Zeiträume
auszuwerten.)

Für die Analyse habe ich jetzt mal das Community Edition von Netwrix gefunden, möglicherweise sollte es aber auch mit der Ereignisanzeige von Windows selbst möglich sein ...

https://blog.netwrix.com/2016/12/15/security-tip-detect-permission-chang ...

vs.

https://www.netwrix.com/free_community_edition.html

Hat jemand Erfahrungen mit diesen beiden Optionen bezüglich Sicherheitsauswertungen?

Vielen Dank für eure Meinungen ...

LG

JoFla
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 7163279927

Url: https://administrator.de/contentid/7163279927

Printed on: April 27, 2024 at 20:04 o'clock

3 Comments
Latest comment
Goto Top
Mitglied: 7010350221
Solution 7010350221 May 15, 2023, updated at May 16, 2023 at 13:18:43 (UTC)
Goto Top
Einfach mit deinem Filter einen Eventtrigger erstellen.

screenshot

Und in der Aufgabe dann ein Skript starten das auf deine gewünschte Weise benachrichtigt.

Bsp. Task mit Mail senden
<?xml version="1.0" encoding="UTF-16"?>  
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">  
	<RegistrationInfo />
	<Triggers>
		<EventTrigger>
			<Enabled>true</Enabled>
			<Subscription>&lt;QueryList&gt;&lt;Query Id="0" Path="Security"&gt;&lt;Select  
				Path="Security"&gt;*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=5136 or  
			EventID=4662)]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;</Subscription>
		</EventTrigger>
	</Triggers>
	<Principals>
		<Principal id="Author">  
			<UserId>S-1-5-18</UserId>
			<RunLevel>LeastPrivilege</RunLevel>
		</Principal>
	</Principals>
	<Settings>
		<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
		<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
		<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
		<AllowHardTerminate>true</AllowHardTerminate>
		<StartWhenAvailable>false</StartWhenAvailable>
		<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
		<IdleSettings>
			<Duration>PT10M</Duration>
			<WaitTimeout>PT1H</WaitTimeout>
			<StopOnIdleEnd>true</StopOnIdleEnd>
			<RestartOnIdle>false</RestartOnIdle>
		</IdleSettings>
		<AllowStartOnDemand>true</AllowStartOnDemand>
		<Enabled>true</Enabled>
		<Hidden>false</Hidden>
		<RunOnlyIfIdle>false</RunOnlyIfIdle>
		<WakeToRun>false</WakeToRun>
		<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
		<Priority>7</Priority>
	</Settings>
	<Actions Context="Author">  
		<Exec>
			<Command>powershell.exe</Command>
			<Arguments>-EP ByPass -C "Send-MailMessage -From 'user@domain.de' -to 'empfaenger@domain.de' -Subject 'Notification' -SmtpServer  
				smtp.domain.de -Credential (New-Object PSCredential('USERNAME',(ConvertTo-SecureString 'PASSWORD' -AsPlainText -Force)))  
			-UseSSL"</Arguments>  
		</Exec>
	</Actions>
</Task>


Habt ihr kein Monitoring-System? Eventlog-Events abfragen das kann heutzutage jedes Monitoring-System ...

Gruß
heart1
Member: erikro
erikro May 15, 2023, updated at May 16, 2023 at 13:18:43 (UTC)
Goto Top
English? No, that's german. face-wink I think you'd better move that thread.
Member: JosephusFlavius
JosephusFlavius May 15, 2023 at 20:58:48 (UTC)
Goto Top
Quote from @7010350221:

Einfach mit deinem Filter einen Eventtrigger erstellen.

Vielen Dank!

JoFla
GermansolvedQuestionSecurity Tools
Hotly discussed
DaniEnd of availability for classic Teams clientDani