josephusflavius
Goto Top

Windows Event Log - Event-ID 5136, Event 4662 filtern und benachrichtigen

Hallo,

wir würden gerne prüfen, ob auf dem Domain Controller die "Events" 5136, 4662 sich ereignen. (ob jemand "unerwünschte" Berechtigungen durchgeführt hat. Wegen einer Sicherheitslücke wäre es wichtig diese Infos für bestimmte Zeiträume
auszuwerten.)

Für die Analyse habe ich jetzt mal das Community Edition von Netwrix gefunden, möglicherweise sollte es aber auch mit der Ereignisanzeige von Windows selbst möglich sein ...

https://blog.netwrix.com/2016/12/15/security-tip-detect-permission-chang ...

vs.

https://www.netwrix.com/free_community_edition.html

Hat jemand Erfahrungen mit diesen beiden Optionen bezüglich Sicherheitsauswertungen?

Vielen Dank für eure Meinungen ...

LG

JoFla

Content-ID: 7163279927

Url: https://administrator.de/contentid/7163279927

Printed on: October 10, 2024 at 01:10 o'clock

7010350221
Solution 7010350221 May 15, 2023, updated at May 16, 2023 at 13:18:43 (UTC)
Goto Top
Einfach mit deinem Filter einen Eventtrigger erstellen.

screenshot

Und in der Aufgabe dann ein Skript starten das auf deine gewünschte Weise benachrichtigt.

Bsp. Task mit Mail senden
<?xml version="1.0" encoding="UTF-16"?>  
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">  
	<RegistrationInfo />
	<Triggers>
		<EventTrigger>
			<Enabled>true</Enabled>
			<Subscription>&lt;QueryList&gt;&lt;Query Id="0" Path="Security"&gt;&lt;Select  
				Path="Security"&gt;*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=5136 or  
			EventID=4662)]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;</Subscription>
		</EventTrigger>
	</Triggers>
	<Principals>
		<Principal id="Author">  
			<UserId>S-1-5-18</UserId>
			<RunLevel>LeastPrivilege</RunLevel>
		</Principal>
	</Principals>
	<Settings>
		<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
		<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
		<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
		<AllowHardTerminate>true</AllowHardTerminate>
		<StartWhenAvailable>false</StartWhenAvailable>
		<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
		<IdleSettings>
			<Duration>PT10M</Duration>
			<WaitTimeout>PT1H</WaitTimeout>
			<StopOnIdleEnd>true</StopOnIdleEnd>
			<RestartOnIdle>false</RestartOnIdle>
		</IdleSettings>
		<AllowStartOnDemand>true</AllowStartOnDemand>
		<Enabled>true</Enabled>
		<Hidden>false</Hidden>
		<RunOnlyIfIdle>false</RunOnlyIfIdle>
		<WakeToRun>false</WakeToRun>
		<ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
		<Priority>7</Priority>
	</Settings>
	<Actions Context="Author">  
		<Exec>
			<Command>powershell.exe</Command>
			<Arguments>-EP ByPass -C "Send-MailMessage -From 'user@domain.de' -to 'empfaenger@domain.de' -Subject 'Notification' -SmtpServer  
				smtp.domain.de -Credential (New-Object PSCredential('USERNAME',(ConvertTo-SecureString 'PASSWORD' -AsPlainText -Force)))  
			-UseSSL"</Arguments>  
		</Exec>
	</Actions>
</Task>


Habt ihr kein Monitoring-System? Eventlog-Events abfragen das kann heutzutage jedes Monitoring-System ...

Gruß
erikro
erikro May 15, 2023, updated at May 16, 2023 at 13:18:43 (UTC)
Goto Top
English? No, that's german. face-wink I think you'd better move that thread.
JosephusFlavius
JosephusFlavius May 15, 2023 at 20:58:48 (UTC)
Goto Top
Quote from @7010350221:

Einfach mit deinem Filter einen Eventtrigger erstellen.

Vielen Dank!

JoFla