Windows Event Log - Event-ID 5136, Event 4662 filtern und benachrichtigen

Hallo,

wir würden gerne prüfen, ob auf dem Domain Controller die "Events" 5136, 4662 sich ereignen. (ob jemand "unerwünschte" Berechtigungen durchgeführt hat. Wegen einer Sicherheitslücke wäre es wichtig diese Infos für bestimmte Zeiträume
auszuwerten.)

Für die Analyse habe ich jetzt mal das Community Edition von Netwrix gefunden, möglicherweise sollte es aber auch mit der Ereignisanzeige von Windows selbst möglich sein ...

https://blog.netwrix.com/2016/12/15/security-tip-detect-permission-chang ...

vs.

https://www.netwrix.com/free_community_edition.html

Hat jemand Erfahrungen mit diesen beiden Optionen bezüglich Sicherheitsauswertungen?

Vielen Dank für eure Meinungen ...

LG

JoFla

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 7163279927

Url: https://administrator.de/contentid/7163279927

Ausgedruckt am: 18.12.2024 um 06:12 Uhr

3 Kommentare

Neuester Kommentar

Einfach mit deinem Filter einen Eventtrigger erstellen.

Und in der Aufgabe dann ein Skript starten das auf deine gewünschte Weise benachrichtigt.

Bsp. Task mit Mail senden

<?xml version="1.0" encoding="UTF-16"?>  
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">  
	<RegistrationInfo />
	<Triggers>
		<EventTrigger>
			<Enabled>true</Enabled>
			<Subscription>&lt;QueryList&gt;&lt;Query Id="0" Path="Security"&gt;&lt;Select  
				Path="Security"&gt;*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=5136 or  
			EventID=4662)]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;</Subscription>
		</EventTrigger>
	</Triggers>
	<Principals>
		<Principal id="Author">  
			<UserId>S-1-5-18</UserId>
			<RunLevel>LeastPrivilege</RunLevel>
		</Principal>
	</Principals>
	<Settings>
		<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
		<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
		<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
		<AllowHardTerminate>true</AllowHardTerminate>
		<StartWhenAvailable>false</StartWhenAvailable>
		<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
		<IdleSettings>
			<Duration>PT10M</Duration>
			<WaitTimeout>PT1H</WaitTimeout>
			<StopOnIdleEnd>true</StopOnIdleEnd>
			<RestartOnIdle>false</RestartOnIdle>
		</IdleSettings>
		<AllowStartOnDemand>true</AllowStartOnDemand>
		<Enabled>true</Enabled>
		<Hidden>false</Hidden>
		<RunOnlyIfIdle>false</RunOnlyIfIdle>
		<WakeToRun>false</WakeToRun>
		<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
		<Priority>7</Priority>
	</Settings>
	<Actions Context="Author">  
		<Exec>
			<Command>powershell.exe</Command>
			<Arguments>-EP ByPass -C "Send-MailMessage -From 'user@domain.de' -to 'empfaenger@domain.de' -Subject 'Notification' -SmtpServer  
				smtp.domain.de -Credential (New-Object PSCredential('USERNAME',(ConvertTo-SecureString 'PASSWORD' -AsPlainText -Force)))  
			-UseSSL"</Arguments>  
		</Exec>
	</Actions>
</Task>