InTrust 自動幫您蒐集 AD 帳號的登入/登出紀錄,長時間保存並保護
基於資訊安全的考量下,電腦主機、系統伺服器、個人電腦及系統操作行為等,這些行為均需要被記錄下來,我們稱之為 Log,這些 Log 不旦需要記錄下來,且要確保保留的時間夠長以便能夠在發生問題時得以查詢。但如何確保這些重要的 Log 並長時間保存並且受到保護而不被串改呢?我們今天要討論的重點在於AD帳號在任何主機上登入及登出的行為需要被記錄下來,並且確定儲存下來的資料是正確的,最重要的是能夠在這些大量的資料中快速查到資料 (搜尋快速是很重要的)。
如何記錄所有AD帳號在伺服器上登入登出的Log,其實 Windows 有內建此功能,只是要手動把這功能 Enable 起來。
步驟如下
開啟 群組原則管理
到 網域 | Domain.com | Domain Controllers
按右鍵,選擇編輯,會跳出一個警示訊息提醒你所做的修改會套用,按「是」進入編輯
編輯畫面
到 電腦設定 | 原則 | Windows 設定 | 安全性設定 | 本機原則 | 稽核原則
設定「稽核帳號登入事件」
勾選如下畫面,套用
接著是透過 InTrust 這個工具來蒐集 DC 上的 Log
在 InTrust 安裝完成後,開啟 InTrust Manager,透過以下設定步驟,將 DC 新增進來
選擇要蒐集的主機 → Domain Controller
接著安裝Agent,安裝完之後便會開始蒐集 Log。到這裡就算設定完成囉,步驟其實很簡單。
接著我們關心的就如何查找這些紀錄,InTrust 的工具 Repository Viewer 提供方便的搜尋功能,我們來看看能如何做搜尋,查到我們想要找的資料。
下圖就是 Repository Viewer 的畫面,左邊預設幫你分類了幾個項目,右邊則是顯示結果。
我們可以透過右邊畫面中的欄位進行搜尋,也可利用下方 Search Filter 頁籤新增搜尋的條件。
舉例:我想找到 admin01 這個帳號在所有伺服器上是否有做登入/登入的行為,如何查找?
將 Who 這個條件勾選進來,畫面中下方便可輸入帳號當作搜尋的條件。
條件輸入後,剪輯右上方的 Go 開始進行搜尋,並將結果顯示出來。
點擊其中任一事件,透過下方 Event Details 可查看 Log 的詳細資訊。
想像一下如果你要在 Windows 上的 事件檢視器 中做這樣的搜尋,可能要花上一整天的時間還不一定找的到,甚至可能紀錄已經被有心人刪除。
InTrust 能夠做到資料不被竄改是使用了特殊技術,將 Log 儲存成它自己的特殊檔案格式,確保資料的正確性。
其實 InTrust 不只僅僅是蒐集 Windows Log 的工具,它支援了以下平台及設備:
– Windows
– UNIX/Linux Servers
– Databases
– Applications
– Network devices
提供了單一介面操作、搜尋,提供報表產出功能以及內建 Best-practice 報表。並有即時告警的功能。除此之外,儲存資料使用20:1的壓縮比,可減省60%的空間使用。
InTrust 可說是一套智能且可擴展的事件日誌管理工具。
留言
張貼留言