Hi Admins
Ich schreibe mal hier da ja Frank ein super Beschreibung zu LAPS gemacht hat ?
Vielleicht steht der eine oder andere jetzt auch vor dem Problem:
Das Auditing ist nicht wirklich einfach zu bewerkstelligen wie auch in den Berichten ersichtlich ist. Gerade in einer Grossen Umgebung ist es schwierig was zu finden da zuviele Daten. Auch können viele Auditing Tools diese nicht (defaultmässig) auslesen.
- Hat jemand schon ein Script gemacht oder kann in etwa sagen wie nur LAPS Audit Logs gefiltert werden können?
- Da keine einfache Archivierung bzw. Analyse möglich ist überlege ich das Audit zu deaktivieren. Hat das schon jemand gemacht und falls ja wie?
Grüsse
FloCH
Hi FloCH,
eigentlich ist das Audit nicht besonders schwierig. Je nachdem was du erreichen willst könntest du beispielsweise das Event 4662 an ein SIEM System oder ähnliches weiterleiten und dann mit einem entsprechenden Parser auswerten. Auch die Auswertung per Script ist möglich, hier müsste man dann nur auf "schemaIDGUID" filtern (siehe LAPS OperationsGuide 5.3). Was willst du denn genau erreichen?
Gruß,
Frank