8 Event IDs mais críticos de segurança do Windows

O registro de segurança do Windows, que você pode encontrar em Visualizador de eventos, registra o usuário crítico
ações como logons e logoffs, gerenciamento de contas, acesso a objetos e muito mais. A Microsoft descreve o registro de segurança do Windows como “sua melhor e última defesa”, e com razão tão. O log de segurança ajuda a detectar possíveis problemas de segurança, garante a responsabilidade do usuário, e serve como prova durante violações de segurança.

O que torna um event ID do Windows crítico?

Entre a infinidade de eventos de segurança do Windows, os poucos que podem ser considerados críticos podem
ser amplamente classificado em dois grupos:

  1. Eventos cuja única ocorrência indica atividade maliciosa. Por exemplo, uma conta normal do usuário final sendo adicionada inesperadamente a um grupo de segurança confidencial.
  2. Eventos cuja ocorrência sucessiva acima de uma linha de base aceita indica mal-intencionado atividade. Por exemplo, um número anormalmente grande de logons com falha.

Logon e Logoff

4624 – Esse evento é gerado quando uma sessão de logon é criada (no computador de destino). Ele gera no computador que foi acessado, onde a sessão foi criada.

4625 – Esse evento gera se uma tentativa de logon de conta falhou quando a conta já estava bloqueada. Ele também gera para uma tentativa de logon após a qual a conta foi bloqueada. Ele gera no computador onde a tentativa de logon foi feita, por exemplo, se a tentativa de logon tiver sido feita na estação de trabalho do usuário, o evento será registrado nesta estação de trabalho.

Account Management

4728 – Um membro foi adicionado a um grupo global habilitado para segurança. Global significa que o grupo pode receber acesso em qualquer domínio de confiança, mas só pode ter membros de seu próprio domínio. Este evento é registrado apenas em controladores de domínio. O Server 2016 adiciona o campo “Tempo de expiração” na versão 2 deste evento. 

4732 – Esse evento gera sempre que um novo membro foi adicionado a um grupo local habilitado para segurança.

4756 – Um membro foi adicionado a um grupo universal habilitado para segurança. Quando objetos do Active Directory, como um usuário/grupo/computador, são adicionados a um grupo de segurança universal, a ID de evento 4756 é registrada. Isso pode caracterizar abuso de privilégios.

4740 – Geralmente é disparado pela conta SYSTEM, recomendamos que você monitore esse evento e relate-o sempre que Assunto/ID de segurança não for “SYSTEM”.

Eventlog

1102 – Sempre que o log de auditoria de segurança do Windows é apagado. Normalmente, não há necessidade de limpeza manual do log de eventos, portanto, a ocorrência desse evento deve ser investigada posteriormente.

Object Access

4663 – Um objeto (arquivo ou diretório) tem uma tentativa de acesso feita. O acesso pode ser para ler, editar, obter ou definir atributos ao objeto. Para esse evento, o Data ONTAP audita apenas a primeira leitura SMB e a primeira operação de gravação SMB (sucesso ou falha) em um objeto. Isso evita que o Data ONTAP crie entradas de log excessivas quando um único cliente abre um objeto e executa muitas operações sucessivas de leitura ou gravação no mesmo objeto.

Protegendo o Active Directory

Em primeiro lugar, você precisa configurar sua política de auditoria para que o Windows possa registrar o eventos relevantes no log de segurança. Em seguida, você precisa agregar e analisar os logs e, em seguida, traduz essas descobertas em informações acionáveis, como relatórios e alertas. Usando ferramentas nativas e scripts do PowerShell para completar essas tarefas exigem experiência e muito Tempo. Para realizar o trabalho com rapidez e eficiência, uma ferramenta de terceiros é realmente indispensável.

Com relatórios detalhados, alertas em tempo real e exibições gráficas, ADAudit Plus simplifica o monitoramento contínuo de logins e logoffs, alterações de membros do grupo, registro de eventos compensação, bloqueios de contas, servidores de arquivos e muito mais em seu Active Directory, servidores membros e estações de trabalho.

Nota: Embora muito cuidado tenha sido tomado para preparar este documento, não oferecemos garantias seja o que for com relação a este documento, incluindo, mas não se limitando à precisão de qualquer informações nele contidas.

O ADAudit Plus é uma auditoria de mudança em tempo real e análise do comportamento do usuário solução que ajuda a manter seu Active Directory, Azure AD, servidores Windows e estações de trabalho seguras e compatíveis. Inicie uma avaliação gratuita de 30 dias clicando no botão abaixo e contando com o apoio dos especialistas ACSoftware.

ACSoftware revenda e distribuidora ManageEngine no Brasil. Fone / WhatsApp (11) 4063 9639.

PodCafé da TI – Podcast, Tecnologia e Cafeína.
SpotifyApple PodcastsGoogle PodcastsDeezerYouTube

Deixe um comentário

Blog ACSoftware - ManageEngine