StefanWe 14 Geschrieben 22. März 2021 Melden Teilen Geschrieben 22. März 2021 Hallo, wir wollen einen Gesamtüberblick unserer Umgebung haben und möchten gerne alle sicherheitsrelevanten eventlog ids einsammeln und prüfen. anfangen würden wir mit den Domänen Controllern und adfs. gibt es da von Microsoft eine Best Practise Liste? Ist euch etwas bekannt? Ggf. irgendwo ein Blog Eintrag? Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 22. März 2021 Melden Teilen Geschrieben 22. März 2021 Moin, es gibt keine Event-ID für "ka**e ist am Dampfen". Alle IDs aus dem Auditing sind einzeln genommen harmlos und ergeben erst bei der Korrelation ein Bedrohungsbild. Hier ein Beispiel für 4727-4730: https://www.lepide.com/how-to/track-and-audit-active-directory-group-membership-changes.html Wenn Du sie z.B. in rascher Abfolge siehst, könnte es bedeuten, dass jemand sich irgendwo ein anderes Loch gebohrt hat. Und da muss man die anderen Events haben und sie damit korrelieren. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.