Benachrichtigungen
Alles löschen

LAPS und Auditing

2 Beiträge
2 Benutzer
0 Reactions
2,282 Ansichten
(@floch)
Eminent Member
Beigetreten: Vor 5 Jahren
Beiträge: 20
Themenstarter  

Hi Admins

Ich schreibe mal hier da ja Frank ein super Beschreibung zu LAPS gemacht hat ?

Vielleicht steht der eine oder andere jetzt auch vor dem Problem:

Das Auditing ist nicht wirklich einfach zu bewerkstelligen wie auch in den Berichten ersichtlich ist. Gerade in einer Grossen Umgebung ist es schwierig was zu finden da zuviele Daten. Auch können viele Auditing Tools diese nicht (defaultmässig) auslesen.

  • Hat jemand schon ein Script gemacht oder kann in etwa sagen wie nur LAPS Audit Logs gefiltert werden können?
  • Da keine einfache Archivierung bzw. Analyse möglich ist überlege ich das Audit zu deaktivieren. Hat das schon jemand gemacht und falls ja wie?

Grüsse

FloCH

 


   
Zitat
Schlagwörter für Thema
Frank Zöchling
(@franky)
Honorable Member Admin
Beigetreten: Vor 15 Jahren
Beiträge: 512
 

Hi FloCH,

eigentlich ist das Audit nicht besonders schwierig. Je nachdem was du erreichen willst könntest du beispielsweise das Event 4662 an ein SIEM System oder ähnliches weiterleiten und dann mit einem entsprechenden Parser auswerten. Auch die Auswertung per Script ist möglich, hier müsste man dann nur auf "schemaIDGUID" filtern (siehe LAPS OperationsGuide 5.3). Was willst du denn genau erreichen?

Gruß,

Frank


   
AntwortZitat

Teilen: