Analyse des logs Active Directory (Kerberos et NTLM) avec le SIEM Azure Sentinel pour tracker les mouvements latéraux des pirates!
Pour tracker les pirates à l'aide des logs Windows Active Directory, vous pouvez suivre les étapes suivantes :
Activer l'audit dans Active Directory : Activez l'audit des événements dans Active Directory pour enregistrer les activités des utilisateurs et des objets dans les journaux de sécurité. Pour cela, vous pouvez utiliser les GPO (Group Policy Objects) pour configurer les paramètres d'audit appropriés.
Collecter les logs Active Directory : Configurez votre solution de collecte de logs (par exemple, un SIEM ou un outil de gestion des logs) pour récupérer les journaux de sécurité d'Active Directory à partir des contrôleurs de domaine et d'autres serveurs AD pertinents.
Analyser les logs : Utilisez les logs collectés pour analyser les activités suspectes. Voici quelques éléments à surveiller :
- Tentatives de connexion infructueuses : Recherchez les événements d'échec de connexion qui peuvent indiquer des tentatives de piratage.
- Changements d'autorisations : Surveillez les modifications apportées aux autorisations d'objets Active Directory, telles que les modifications de groupe, les modifications de contrôle d'accès, etc.
- Création/modification/suppression de comptes : Identifiez les événements liés à la création, à la modification ou à la suppression de comptes d'utilisateurs ou de groupes.
- Utilisation de privilèges élevés : Soyez attentif aux utilisateurs qui obtiennent des privilèges élevés ou qui effectuent des actions sensibles dans Active Directory.
Analyse comportementale : Établissez des profils de comportement normal pour les utilisateurs et les objets d'Active Directory. Identifiez les modèles d'activité inhabituels ou atypiques qui peuvent indiquer une activité malveillante.
Utilisez des règles d'alerte : Configurez des règles d'alerte dans votre solution de gestion des logs pour détecter les activités suspectes. Cela peut inclure des alertes pour les connexions non autorisées, les modifications anormales d'autorisations, les accès non autorisés à des comptes privilégiés, etc.
Corrélation d'événements : Utilisez les fonctionnalités de corrélation d'événements de votre solution de gestion des logs pour identifier les séquences d'événements qui peuvent indiquer des mouvements latéraux ou des attaques en cours.
Réponse aux incidents : Lorsque des activités suspectes sont détectées, suivez les procédures de réponse aux incidents en place pour enquêter, contenir et éliminer la menace.
Il est essentiel de noter que la détection des activités suspectes dans les logs Active Directory nécessite une connaissance approfondie de l'infrastructure Active Directory, des stratégies de sécurité et des méthodes d'attaque courantes. Travailler avec des experts en sécurité informatique peut vous aider à mettre en place une stratégie efficace de détection des pirates et de réponse aux incidents.