Audit natif :
Les journaux d'événements Active Directory peuvent être consultés à l'aide de l'observateur d'événements, qui est un outil natif fourni par Microsoft. Cependant, la stratégie d'audit de votre domaine doit d'abord être activée.
- Étape 1: Ceci peut être effectué en allant sur votre console de gestion Stratégie de groupe → Stratégie de domaine → Configuration de l’ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Configuration de la stratégie d’audit/stratégie d’audit avancée.
- Étape 2: Sélectionnez les événements que vous voulez auditer.
- Étape 3: À présent, pour consulter les journaux d'événements AD relatifs à ces événements, accédez à Outils d'administration → Observateur d'événements.
- Étape 4: Sélectionnez le type de journaux d'audit AD que vous souhaitez afficher (par exemple : application, système, etc.).
Vous pouvez filtrer ces journaux pour n’afficher que ce dont vous avez besoin.
Malheureusement, l'observateur d'événements a une capacité de stockage des journaux de 4 Go et les journaux sont remplacés si nécessaire. De plus, l'encombrement dans ces journaux vous empêche d'avoir une image claire des événements qui se produisent dans le domaine. Ces limitations font de l'observateur d'événements un outil d'audit médiocre pour Active Directory.
Affichage des journaux de sécurité Active Directory à l’aide d’ADAudit Plus
ADAudit Plus vous permet de consulter les journaux d'événements AD sous forme de rapports soignés classés par catégories. Ainsi, vous n'avez pas besoin de faire défiler à l'infini une montagne de journaux de sécurité, de passer des heures à filtrer les événements ou de craindre que les événements soient remplacés en raison d'un stockage limité. ADAudit Plus effectue tout le travail pour vous. Voici un exemple de rapport sur les événements de modification de groupe.
ADAudit Plus vous permet d'exporter ces journaux vers n'importe quel outil SIEM et même d'importer des journaux EVT/EVTX depuis une source externe. Ces rapports peuvent être exportés sous forme de fichier CSV, PDF, XLS ou HTML, et planifiés pour vous être envoyés au moment de votre choix. Ils peuvent être archivés et enregistrés n'importe où localement, de sorte que les administrateurs n'ont pas à se soucier des limitations de stockage comme avec les outils natifs.
De cette façon, les journaux des événements passés peuvent être stockés aussi longtemps que nécessaire pour être utilisés à des fins d'analyse approfondie et de conformité. Le module d'alerte d'ADAudit Plus vous envoie des notifications en temps réel en cas d'événement critique.
ADAudit Plus dispose de rapports d'audit en temps réel pour :
- Audit d’ouverture de session utilisateur
- Audit de serveur de fichiers
- Audit d’objets AD
- Audit de Windows Server
- Audit de stockage amovible
Et bien davantage !
Vos journaux AD sont également compilés dans des rapports de conformité préconfigurés pour vous aider à respecter les réglementations du secteur d’activité.
Découvrez comment ADAudit Plus peut vous aider à auditer votre AD.
L’audit natif devient-il un peu trop compliqué?
Simplifiez l'audit et la création de rapports Active Directory avec ADAudit Plus.
Télécharger gratuitement