📘
Blue Team Cookbook
russian
russian
  • Blue Team Cookbook
  • SOC теория
    • Матрица MITRE ATT&CK, Cyber Kill Chain, UKC
    • Логи: что собирать и откуда, чтобы эффективно обнаруживать атаки
      • Что подключать полезно, а что не очень
      • Приоритезация для подключения в SIEM
    • Разработка правил обнаружения атак
      • Инструменты создания правил
      • 10 правил SIEM, с которых надо начать
  • Windows
    • Средства мониторинга Windows
      • Стандартный аудит Windows
      • Расширенный аудит Windows
      • Логирование PowerShell
      • Логирование командной строки
      • Sysmon
    • [Cheat Sheet] ТОП-10 событий для мониторинга
      • Event ID 4697, 7045. Службы Windows
      • Event ID 4624. Парные сессии, уровень целостности и UAC
    • Процесс LSASS и его секреты
    • NTLM-хеши
    • Реестр Windows: ключ к системе
      • Что может сделать атакующий с доступом в реестр на запись
    • LPE и семья картошек
  • Active Directory
    • Служба каталогов
      • [Cheat Sheet] Интересные атрибуты LDAP
    • Kerberos
    • Захват домена: NTDS.dit, DCSync, DCShadow
  • UNIX
    • Аудит Unix
      • Auditd
      • Системные вызовы Unix
  • WEB
    • HTTP
      • Как работает авторизация в WEB-приложениях
    • [Cheat Sheet] Заголовки для защиты сайта
  • Other
    • Cheat Sheets
    • Полезные ссылки и ресурсы
Powered by GitBook
On this page
  • Настройка стандартного аудита
  • Ограничения стандартного аудита
Edit on GitHub
  1. Windows
  2. Средства мониторинга Windows

Стандартный аудит Windows

Стандартный аудит Windows — это инструмент для базового мониторинга безопасности. Он позволяет отслеживать ключевые события, такие как входы в систему, изменения учетных записей и доступ к объектам.

Настройка стандартного аудита

Стандартный аудит включается через Локальные политики безопасности или Групповые политики (GPO) в разделе Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита.

Там представлены различные категории, для каждой категории можно выбрать:

  • Аудит успешных событий (Success)

  • Аудит неудачных событий (Failure)

Таблица с рекомендациями

Ограничения стандартного аудита

  • Стандартный аудит не предоставляет детальной информации о процессах, сетевых подключениях или активности PowerShell.

  • Для обнаружения сложных атак (например, lateral movement или использование эксплойтов) стандартного аудита недостаточно.

PreviousСредства мониторинга WindowsNextРасширенный аудит Windows

Last updated 2 months ago