Monitorização Windowsacesso à conta
A sua organização utiliza produtos e serviços da Microsoft e os utilizadores da sua organização acedem a esses serviços através de contas de utilizador e de serviço. Enquanto a sua organização precisa de ser capaz de investigar problemas de início de sessão do utilizador e bloqueios de conta para fins de TI, para garantir que os utilizadores possam aceder aos sistemas necessários para fazer o seu trabalho, também precisa de ser capaz de monitorizar a utilização da conta para fins de segurança.
Pode utilizar as pesquisas neste caso de utilização para o ajudar a identificar tentativas de início de sessão que possam indicar actividade suspeita e gerar registos de alterações de grupos de utilizadores que pode examinar como parte dos seus processos de caça a ameaças.
Dados requeridos
- Microsoft : Windows registos de eventos
- Dados do registo do sistema
Como utilizar o software Splunk para este caso de utilização
Pode executar muitas pesquisas com o software Splunk para monitorizar Windows acesso à conta. Dependendo das informações disponíveis, poderá ser útil identificar alguns ou todos os seguintes:
Próximos passos
Para maximizar seu benefício, os artigos de instruções vinculados na seção anterior provavelmente precisam se vincular aos processos existentes na sua organização ou se tornar novos processos padrão. Estes processos geralmente afetam o sucesso com este caso de uso:
- Administração de políticas de grupo do Active Directory
- Administração de sistemas de Gestão de Identidade e Acesso (por exemplo, OneLogon, Okta, etc.)
Além disso, estes recursos do Splunk podem ajudá-lo a compreender e implementar este caso de utilização:
- Use case: Baseline of user logon times
- Tech Talk: My start will go on: Splunk's TA for Windows Part 1
- Tech Talk: My start will go on: Splunk's TA for Windows Part 2