O que é sucesso ou falha de auditoria no Visualizador de eventos

Para ajudar a solucionar problemas, o Event Viewer, nativo do sistema operacional Windows, mostra logs de eventos de mensagens do sistema e do aplicativo que incluem erros, avisos e informações sobre determinados eventos que podem ser analisados ​​pelo administrador para tomar as ações necessárias. Nesta postagem, discutimos o sucesso ou a falha da auditoria no visualizador de eventos .

O que é sucesso ou falha de auditoria no Visualizador de eventos

No Visualizador de Eventos, Audit Success é um evento que registra uma tentativa de acesso de segurança auditada bem-sucedida, enquanto Falha de auditoria é um evento que registra uma tentativa de acesso de segurança auditada que falha. Abordaremos esse tema nos seguintes subtítulos:

1. Políticas de auditoria
2. Ativar políticas de auditoria
3. Use o Visualizador de Eventos para encontrar a fonte de tentativas malsucedidas ou bem-sucedidas
4. Alternativas para usar o Visualizador de Eventos

Vamos ver isso em detalhes.

Políticas de auditoria

Uma política de auditoria define os tipos de eventos que são registrados nos logs de segurança e essas políticas geram eventos, que podem ser eventos de sucesso ou eventos de falha. Todas as políticas de auditoria gerarão eventos de sucesso; no entanto, apenas alguns deles gerarão eventos de falha. Dois tipos de políticas de auditoria podem ser configurados:

As falhas de auditoria geralmente são geradas quando uma solicitação de logon falha, embora também possam ser geradas por alterações em contas, objetos, políticas, privilégios e outros eventos do sistema. Os dois eventos mais comuns são;

• Identificação do evento 4771: Falha na pré-autenticação do Kerberos . Esse evento é gerado apenas em controladores de domínio e não é gerado se a opção Não exigir pré-autenticação Kerberos estiver definida para a conta. Para obter mais informações sobre esse evento e como resolver esse problema, consulte a documentação da Microsoft .
• Identificação do evento 4625: Falha ao fazer logon em uma conta . Esse evento é gerado quando uma tentativa de logon de conta falha, supondo que o usuário já tenha sido bloqueado. Para obter mais informações sobre esse evento e como resolver esse problema, consulte a documentação da Microsoft .

Ativar políticas de auditoria

Você pode habilitar políticas de auditoria nas máquinas cliente ou servidor por meio do Editor de Política de Grupo Local ou Console de Gerenciamento de Política de Grupo ou Editor de Política de Segurança Local. Em um servidor Windows, em seu domínio, crie um novo objeto de política de grupo ou edite um GPO existente.

Em uma máquina cliente ou servidor, no Editor de Diretiva de Grupo, navegue até o caminho abaixo:

Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy

Em uma máquina cliente ou servidor, em Local Security Policy, navegue até o caminho abaixo:

Security Settings > Local Policies > Audit Policy

• Em Políticas de auditoria, no painel direito, clique duas vezes na política cujas propriedades você deseja editar.
• No painel de propriedades, você pode habilitar a política para Sucesso ou Falha de acordo com sua necessidade.

Use o Visualizador de Eventos para encontrar a fonte de tentativas malsucedidas ou bem-sucedidas

Administradores e usuários regulares podem abrir o Visualizador de Eventos em uma máquina local ou remota, com a permissão apropriada. O Visualizador de Eventos agora registrará um evento toda vez que houver um evento com falha ou sucesso, seja em uma máquina cliente ou no domínio de uma máquina servidora. A ID do evento que é acionada quando um evento com falha ou bem-sucedido é registrado é diferente (consulte a seção Políticas de auditoria acima). Você pode navegar para Visualizador de Eventos > Logs do Windows > Segurança . O painel no centro lista todos os eventos que foram configurados para auditoria. Você terá que passar por eventos registrados para procurar tentativas malsucedidas ou bem-sucedidas. Depois de encontrá-los, você pode clicar com o botão direito do mouse no evento e selecionar Propriedades do eventopara mais detalhes.

Alternativas para usar o Visualizador de Eventos

Como alternativa ao uso do Visualizador de eventos, há vários softwares gerenciadores de log de eventos de terceiros que podem ser usados ​​para agregar e correlacionar dados de eventos de uma ampla variedade de fontes, incluindo serviços baseados em nuvem. Uma solução SIEM é a melhor opção se houver necessidade de coletar e analisar dados de firewalls, sistemas de prevenção de intrusões (IPS), dispositivos, aplicativos, switches, roteadores, servidores, etc.

Espero que você ache este post informativo o suficiente!

Por que é importante auditar tentativas de acesso bem-sucedidas e malsucedidas?

É vital auditar os eventos de logon, sejam eles bem-sucedidos ou não, para detectar tentativas de invasão porque a auditoria de logon do usuário é a única maneira de detectar todas as tentativas não autorizadas de fazer logon em um domínio. Eventos de logoff não são rastreados em controladores de domínio. Também é igualmente importante auditar tentativas malsucedidas de acessar arquivos, pois uma entrada de auditoria é gerada sempre que qualquer usuário tenta acessar, sem sucesso, um objeto do sistema de arquivos que possui uma SACL correspondente. Esses eventos são essenciais para rastrear a atividade de objetos de arquivo que são confidenciais ou valiosos e requerem monitoramento extra.

Como habilito logs de falha de auditoria no Active Directory?

Para ativar os logs de falha de auditoria no Active Directory, basta clicar com o botão direito do mouse no objeto do Active Directory que deseja auditar e, em seguida, selecionar Propriedades . Selecione a guia Segurança e selecione Avançado . Selecione a guia Auditoria e selecione Adicionar . Para exibir logs de auditoria no Active Directory, clique em Iniciar > Segurança do sistema > Ferramentas administrativas > Visualizador de eventos . No Active Directory, a auditoria é o processo de coleta e análise de objetos do AD e dados de Diretiva de Grupo para melhorar proativamente a segurança, detectar e responder prontamente a ameaças e manter as operações de TI funcionando sem problemas.