[Server] Мониторинг аккаунтов АД

[kikabidze]

Подскажите плиз, где можно посмотреть, когда и с каких компьютеров были удачные и неудачные попытки залогиниться под определенным АД аккаунтом?
Т.е. есть сеть с компьютерами в АД, хочу посмотреть, не пытался ли кто заходить в свой компьютер (или на сервер) под моим аккаунтом.

 

[Шейла]

EventLog > Security

И там по поиску событий.

 

[kikabidze]

Так этож он на локальной машине события показывает? Или что-то путаю и можно посмотреть консолидированный отчет по всем машинам одновременно? Я могу конечно подключиться консолью к каждому компьютеру отдельно и посмотреть в эвентах, но это очень долго - компьютеров просто несколько тысяч и не на всех есть админ-права
Сейчас попробовал подключиться с помощью Event viewer к АД-серверу, но логи не показывает - нет доступа.
Возможно ли еще как-нибудь посмотреть?

 

[Paroxizm]

Консолидированно показать все логи в одном месте готовыми стандартными средствами нельзя (по крайней мере я таких средств не нашел когда искал). Я тогда набросал по-быстрому свою прогу, она качала логи с серверов и искала в них нужную мне строку.

Скорее всего это можно сделать с использованием PowerShell, но я не пробовал, спроси спецов по PS.

Сейчас есть готовые решения, например,

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

(сам не тестировал, ногами не бить ).

Посмотри

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

, может найдёшь что-то интересное.

 

[Шейла]

kikabidze зачем ты запостил свой вопрос в этом разделе, если у тебя доступа к АД нет?
За это ты получил карточку, как за некоректно оформленную тему!

Я и ответ давал из расчета, что это EventLog > Security надо смотреть на контроллере домена.
Без административного доступа к журналам системы тебе не подобратсься, хоть с софтом хоть без него.

1 Иди к админам и применяй соц.инженерию пугай их подозрениями в несанкционированном проникновением в корпоративную сеть или может еще чем.
2 Иди к админам с коньяком

 

[Paroxizm]

Мда, про права не дочитал. Без админских прав большинство прог нормально работать не будет.

Лучше идти с коньяком, т.к.:
1. админы обычно не пугливы, сами следят за безопасностью и могут не особо разбираясь дать по шапке за передачу логина/пароля другому пользователю, что обычно запрещено.
2. можно получить по шапке за попытки логона туда, куда соваться не следует (например, на DC).
Так что делайте себе броник из салями, лимонную каску, пару "коньячных гранат" в руки и вперёд.

 

[kikabidze]

Вы не совсем меня правильно поняли Хотя я сам виноват, т.к. нужно было все подробней расписать. Админ доступ у меня есть к 90% интересующих компов и серверов, т.к. я сам админ Нет его только на АД по сети (доступ есть на один АД сервер, но только если перезагрузить его в режиме восстановления домена) и некоторым другим ресурсам. По сети к АД доступ имеют только пара американских коллег. Просто я думал что есть софт, который может собрать по сети все отчеты с рабочих машин, минуя сервера (теоретически в этом ничего невозможного нет), т.к. через консоль mmc к каждой отдельной рабочей станции у меня доступ есть.
Америкосы народ ленивый, доступ не дают и нужные отчеты в SMS Reports для нас делать не спешат

 

[Paroxizm]

Тогда посмотри ссылки, которые я тебе выше приводил, там есть примеры софта для решения твоей задачи, т.е. просто собирать логи по сети и искать в них нужную инфу.

 

[GEEPERS]

Еще такой вод скрипт откопал у себя в архивах:

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[naeco]

есть такая прога gfi eventsmanager может собирать логи с компов в одно место и там просто ищите что вам нужно

можно пойти дальше настроить сбор логов другим ПО например клиент Snare на сервер допустим splunk и там уже удобный поиск, так же можно там настроить алертинг

можно пойти еще дальше взять опен сорс решения siem и уже там делать автоматический анализ логов по заданным правилам.