Rapports sur les connexions utilisateur d'ADAudit Plus, Partie 4 : Audit de l'activité de connexion des contrôleurs de domaine

ManageEngine ADAudit Plus est un outil d'audit basé sur l'UBA qui renforce votre infrastructure de sécurité Active Directory (AD). Avec plus de 250 rapports intégrés, il vous fournit une vision détaillée de ce qui se passe dans votre AD, comme toutes les modifications apportées aux objets et à leurs attributs. Cela peut inclure les changements apportés aux utilisateurs, ordinateurs, groupes, partages réseau et plus encore. ADAudit Plus permet également de surveiller les activités des utilisateurs privilégiés dans le domaine, de suivre les ouvertures et fermetures de session sur les postes de travail et de fournir une visibilité sur les verrouillages de comptes AD.

Dans cette série de blogs, nous examinerons les nombreux rapports que fournit ADAudit Plus.

La catégorie User Logon Reports comprend 16 rapports préconfigurés qui affichent des détails d'audit précis liés aux ouvertures de session utilisateur, échecs d'ouverture de session, utilisateurs connectés à plusieurs ordinateurs et plus encore.

Dans ce quatrième blog de cette série, nous aborderons le rapport suivant de la catégorie User Logon : le rapport Domain Controller Logon Activity. Avant de commencer, vous pouvez consulter le troisième blog de cette série pour obtenir un bref aperçu du rapport Users First and Last Logon By Computers.

Avant de nous plonger dans ce rapport, passons rapidement en revue ce qu'est un contrôleur de domaine et pourquoi les admins doivent l'auditer en premier lieu.

Les contrôleurs de domaine sont l'un des composants les plus critiques de l'infrastructure AD de toute entreprise et sont les serveurs responsables de l'authentification des utilisateurs et de l'autorisation d'accès aux ressources du domaine.

Ils sont les gardiens qui gèrent l'accès à toutes les ressources IT d'un domaine, il est donc essentiel que les entreprises les surveillent en permanence. Les administrateurs IT doivent surveiller en permanence les événements de connexion des DC afin de pouvoir détecter toute activité anormale, identifier toute utilisation abusive de privilèges et accélérer l'analyse forensique en cas de menace.

Dites bonjour à James, un admin IT de la société ABC, dont l'entreprise a été victime d'un cybercrime et qui veut maintenant auditer l'activité de connexion des contrôleurs de domaine le jour de l'attaque.

Problème : Comment James peut-il savoir quand un utilisateur a effectué l'activité de connexion sur un contrôleur de domaine ?

Solution : Le rapport Domain Controller Logon Activity dans ADAudit Plus aide James à générer un rapport sur tous les utilisateurs qui ont effectué une action de connexion sur un contrôleur de domaine.

Figure 1. Cette capture d'écran montre le rapport Domain Controller Logon Activity dans ADAudit Plus.

Le rapport aide James en lui fournissant des détails essentiels tels que :

1. Le nom d'utilisateur
2. L'adresse IP du client
3. Le nom du contrôleur de domaine
4. La date et l'heure de la tentative de connexion
5. Le type d'événement, c'est-à-dire le succès ou l'échec
6. La raison de l'échec, en cas d'échec de la tentative de connexion.

Comme le montre la Figure 1, le rapport généré fournit toutes les informations nécessaires concernant l'activité de connexion sur le contrôleur de domaine.

Le rapport est extrêmement utile pour les admins comme James pour effectuer une analyse forensique à la suite d'une cyberattaque et pour identifier le système de l'utilisateur qui a été compromis pour exécuter l'attaque.

En outre, James peut effectuer les actions suivantes sur le rapport généré :

1. Sélectionnez Export As pour générer le rapport dans l'un des formats préférés (CSV, PDF, HTML ou XLS).
2. Planifier l'exécution de ces rapports à une heure précise pour un rapport périodique automatique et l'envoyer à son adresse e-mail.
3. Utiliser le lien Add and Remove Columns disponible dans le rapport pour sélectionner des attributs supplémentaires.
4. Générez des rapports en sélectionnant plusieurs domaines.

Les informations sur qui, quand et où sont essentielles pour que les admins IT reçoivent une image claire de ce qui se passe dans leur AD, ce qui peut être facilement visualisé en utilisant la fonction de rapport complet d'ADAudit Plus.

Inscrivez-vous pour une démo personnalisée avec nos experts produits afin d'explorer comment ManageEngine ADAudit Plus peut vous aider à surveiller et sécuriser votre environnement AD.