LAPS und Auditing

Fragen / Probleme / Fehler

Letzter Beitrag von Frank Zöchling Vor 4 Jahren

2 Beiträge

2 Benutzer

0 Reactions

2,100 Ansichten

RSS

FloCH

(@floch)

Eminent Member

Beigetreten: Vor 5 Jahren

Beiträge: 20

Themenstarter 19. Juni 2020 11:42

Hi Admins

Ich schreibe mal hier da ja Frank ein super Beschreibung zu LAPS gemacht hat ?

Vielleicht steht der eine oder andere jetzt auch vor dem Problem:

Das Auditing ist nicht wirklich einfach zu bewerkstelligen wie auch in den Berichten ersichtlich ist. Gerade in einer Grossen Umgebung ist es schwierig was zu finden da zuviele Daten. Auch können viele Auditing Tools diese nicht (defaultmässig) auslesen.

Hat jemand schon ein Script gemacht oder kann in etwa sagen wie nur LAPS Audit Logs gefiltert werden können?
Da keine einfache Archivierung bzw. Analyse möglich ist überlege ich das Audit zu deaktivieren. Hat das schon jemand gemacht und falls ja wie?

Grüsse

FloCH

Zitat

Schlagwörter für Thema

LAPS audit AD

Frank Zöchling

(@franky)

Honorable Member Admin

Beigetreten: Vor 14 Jahren

Beiträge: 512

22. Juni 2020 20:49

Hi FloCH,

eigentlich ist das Audit nicht besonders schwierig. Je nachdem was du erreichen willst könntest du beispielsweise das Event 4662 an ein SIEM System oder ähnliches weiterleiten und dann mit einem entsprechenden Parser auswerten. Auch die Auswertung per Script ist möglich, hier müsste man dann nur auf "schemaIDGUID" filtern (siehe LAPS OperationsGuide 5.3). Was willst du denn genau erreichen?

Gruß,

Frank

AntwortZitat

Forum Icons: Das Forum enthält keine ungelesenen Beiträge Das Forum enthält ungelesene Beiträge

Themen-Icons: Unbeantwortet Beantwortet Aktiv Heiß Oben angepinnt Nicht genehmigt Gelöst Privat Geschlossen