Notifications
Clear all

LAPS und Auditing  

  RSS

(@floch)
Active Member
Beigetreten: 1 Jahr zuvor
Beiträge: 11
19. Juni 2020 11:42  

Hi Admins

Ich schreibe mal hier da ja Frank ein super Beschreibung zu LAPS gemacht hat 👍

Vielleicht steht der eine oder andere jetzt auch vor dem Problem:

Das Auditing ist nicht wirklich einfach zu bewerkstelligen wie auch in den Berichten ersichtlich ist. Gerade in einer Grossen Umgebung ist es schwierig was zu finden da zuviele Daten. Auch können viele Auditing Tools diese nicht (defaultmässig) auslesen.

  • Hat jemand schon ein Script gemacht oder kann in etwa sagen wie nur LAPS Audit Logs gefiltert werden können?
  • Da keine einfache Archivierung bzw. Analyse möglich ist ĂĽberlege ich das Audit zu deaktivieren. Hat das schon jemand gemacht und falls ja wie?

GrĂĽsse

FloCH

 


Zitat
Schlagwörter für Thema
Frank Zöchling
(@franky)
Admin
Beigetreten: 11 Jahren zuvor
Beiträge: 403
22. Juni 2020 20:49  

Hi FloCH,

eigentlich ist das Audit nicht besonders schwierig. Je nachdem was du erreichen willst könntest du beispielsweise das Event 4662 an ein SIEM System oder ähnliches weiterleiten und dann mit einem entsprechenden Parser auswerten. Auch die Auswertung per Script ist möglich, hier müsste man dann nur auf "schemaIDGUID" filtern (siehe LAPS OperationsGuide 5.3). Was willst du denn genau erreichen?

GruĂź,

Frank


AntwortZitat

Share: