ADAudit Plus es una solución arquitectura centralizada de registro de auditoría ganadora de premios, que le permite a los administradores de ambientes de Microsoft Windows ver, monitorear, archivar y recibir alertas en tiempo real, junto con detallados informes de auditoría sobre los event logs de la seguridad Windows. El log de seguridad contiene registros de los eventos relacionados a la seguridad que son específicos a la “política de auditoría” del sistema especificado. Los administradores pueden detectar y hacer seguimiento de actividad no autorizada intentada o exitosa y para solucionar problemas. Ejemplos de eventos de seguridad incluyen eventos de autenticación, eventos de auditoría y eventos no autorizados. Estos eventos son almacenados en los logs de seguridad del sistema operante.
Event logs de seguridad Windows que necesitan auditoría | |
4768 / 4771 | Inicio de sesión en cuenta exitoso/ fallido |
4624 / 4625 | Inicio de sesión local exitosa/ fallida |
4647 | Cierre de sesión iniciado por el usuario |
4778 / 4779 | Sesión de servicio terminal reconectada/ desconectada |
5136 / 5137 | Modificación, creación, movimiento de objeto AD |
5139 / 5141 | Objeto AD movido/ borrado |
4670 | Cambio de permiso con atributos antiguos & nuevos |
4663 / 4659, 4660 | Acceso / borrado de archivo |
El número inconmensurable de eventos registrables en el log significan que analizar el event log de seguridad puede ser una tarea que consume mucho tiempo. Si usted desea auditar éxitos, auditar fallos, o no auditar este tipo de eventos, usted necesita definir la política de auditoría avanzada requerida bajo una configuración de seguridad local, asegurando recolectar solo los logs de seguridad necesarios, garantizando que el espacio de disco no se llene rápidamente con logs no deseados. Aquí están los eventos de seguridad recomendados para programar auditoría, los cuales están bajo la configuración avanzada de políticas de auditoría : Para controladores de dominio | Para servidores de archivo Window| Para servidores miembros Windows | Para workstations Windows
Enlistados abajo se encuentran varias categorías de política de auditoría avanzada | |
Inicio de sesión en cuenta | Documente los intentos de autenticar la información de cuenta en un controlador de dominio o en un administrador de seguridad de cuentas locales (SAM). |
Administración de cuentas | Monitoree cambios al usuario, cuentas de computadora y grupos. |
Seguimiento detallado | Monitoree las actividades de aplicaciones individuales y usuarios en aquella computadora |
Acceso a directorio de servicios | Vea un rastro detallado de auditoría de intentos de acceder y modificar objetos en los servicios de dominio active directory (AD DS). |
Inicio/ cierre de sesión | Rastree intentos de iniciar sesión en una computadora de forma interactiva o sobre una red. Estos eventos son particularmente útiles para rastrear la actividad de usuario e identificar ataques potenciales en los recursos de una red. |
Acceso a objetos | Rastree los intentos de acceder a objetos específicos o tipos de objetos en una red o computadora. |
Cambio de política | Rastree los cambios e intentos de cambiar políticas importantes de seguridad en un sistema local o red. |
Uso de privilegio | Rastree los permisos otorgados en una red de usuarios o computadoras para completar tareas definidas. |
Sistema | Monitoree cambios a nivel de sistema en una computadora que no se incluyen en otras categorías y que tienen potenciales implicaciones de seguridad. |
Auditoría de acceso a objeto global | Los administradores pueden definir las listas de control de acceso a un sistema de computadoras (SACLs) por tipo de objeto para el sistema de archivos o para el registro. |