前言
在外企的 IT 和安全架构中,Active Directory(AD)域控不仅是身份认证的核心,更是零信任架构(ZTA)和安全运营中心(SOC)的"Tier 0"级绝对关键资产。
外企对 AD 日志的使用,通常不会停留在简单的"排查谁删了文件"层面,而是深度融入了合规审计(Compliance)、威胁狩猎(Threat Hunting)以及自动化事件响应(SOAR)体系。
本文是一份符合外企标准(参考 ISO 27001、SOX 或 GDPR 合规要求)的 AD 域控日志高级使用指南及运营内容框架。
一、核心审计策略 (Audit Policy) 配置基线
外企通常会通过 GPO(组策略)强制推送高级审计策略(Advanced Audit Policy Configuration),确保只收集高价值的日志,避免"日志风暴"压垮 SIEM 平台。
配置路径: Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies
外企强制开启的审计子项(Success/Failure)
| 审计分类 | 具体审计子项 |
|---|---|
| Logon/Logoff | Audit Logon, Audit Logoff, Audit Account Lockout |
| Account Management | Audit User/Computer/Group Management |
| Detailed Tracking | Audit Process Creation(需包含命令行参数 Event ID 4688,这对 EDR 溯源至关重要) |
| DS Access | Audit Directory Service Changes(用于监控对敏感 OU 的修改) |
| Account Logon | Audit Kerberos Authentication Service, Audit Kerberos Service Ticket Operations |
二、高危 Event ID 监控矩阵(SOC 核心用例)
外企的安全运营通常会围绕具体的 Use Case(用例)来监控以下 Event ID:
1. 身份验证与凭证攻击 (Authentication & Credential Attacks)
Event ID 4624 (登录成功) / 4625 (登录失败)
**监控逻辑:**关注短时间内(如 5 分钟内)同一账号来自多台不同 IP 的 4625,随后出现 4624。这通常是密码喷洒(Password Spraying)或暴力破解。
外企进阶指标: 结合威胁情报(CTI),监控非工作时间或非业务所在国(Impossible Travel)的 4624 事件。
Event ID 4768 (TGT 请求) / 4769 (TGS 请求) / 4771 (Kerberos 预认证失败)
监控逻辑: 异常高的 4769 请求(且加密类型降级为 RC4)往往是 Kerberoasting 攻击的信号。伪造身份的黄金票据(Golden Ticket)攻击也可通过监控 4769 中不合常理的票据生命周期来发现。
2. 特权账户与群组管理 (Privilege Escalation)
在任何外企,Domain Admins、Enterprise Admins 等高权限组的变动必须触发 P0 级告警。
Event ID 4720 (创建用户) / 4722 (启用用户) / 4724 (重置密码)
**监控逻辑:**谁在非变更窗口期创建了新账号或重置了特权账号的密码。
Event ID 4728 / 4732 / 4756 (向安全组添加成员)
**监控逻辑:**严密监控向关键组(如 Domain Admins, Administrators, Backup Operators, Print Operators)添加成员的操作。通常需要与 ITSM(如 ServiceNow)中的变更工单联动校验。
3. 规避与掩盖痕迹 (Defense Evasion)
Event ID 1102 (审计日志被清除) / 4719 (系统审计策略被修改)
**监控逻辑:**除非是计划内的系统重置,否则一旦出现 1102,外企 SOC 会立即启动应急响应(IR)流程,因为这是攻击者清理战场的最典型特征。
4. 域控自身安全 (DC Security)
Event ID 5136 (目录服务对象被修改) / 5145 (网络共享对象被检查)
**监控逻辑:**监控对 SYSVOL 共享或默认域策略(Default Domain Policy)的未授权修改。攻击者常通过修改 GPO 来下发勒索软件或建立持久化后门。
三、日志流转与架构设计 (Log Pipeline Architecture)
外企绝不依赖在域控服务器本地查看事件查看器,而是有一套严格的日志生命周期管理:
1. Agent 采集与过滤
在 DC 上部署 SIEM 转发器(如 Splunk Universal Forwarder 或 MS Sentinel Agent/AMA)。在转发前,使用过滤规则(如正则匹配或 Event ID 过滤)丢弃无用噪音(如机器账号的正常周期性刷新)。
2. 实时传输 (Hot Tier)
将经过过滤的认证和安全日志实时打入 SIEM(如 Splunk, Sentinel, QRadar),保存 30-90 天,供 SOC 实时关联分析、大屏展示和生成自动化告警。
3. 合规与审计归档 (Cold Tier)
将全量日志(包含一些低优级别的操作日志)打包压缩,送入廉价的云存储(如 AWS S3 Glacier 或 Azure Archive Storage),强制保留 1年到3年 不等。这主要为了应对 SOX、PCI-DSS 审计或事后的长周期溯源取证。
四、结合外企视角的运营报表 (Reporting & Metrics)
除了实时告警,安全团队需要定期向 CISO 或安全总监提供基于 AD 日志的运营指标(Metrics):
📊 Top 10 锁定账号
找出经常被锁定的账号,排查是应用配置错误、遗留的脚本还是恶意的持续性攻击。
🔐 特权账号登录轨迹视图
审计 Tier 0 管理员账号是否违反了"分级管理架构"(例如:严禁 Domain Admin 登录普通的员工办公电脑)。
👤 过期/离职账号活动报告
对接 HR 系统,核查是否有已离职人员的账号(由于 IT 流程疏漏未被禁用)仍在尝试发起认证。
总结
AD 日志不是简单的"排障工具",而是外企安全运营的核心数据源。正确配置审计策略、建立精准的监控用例、设计合理的日志流转架构、并持续输出运营报表,是构建成熟安全运营体系的基石。
核心要点回顾:
-
使用高级审计策略而非基础审计,精准控制日志量级
-
围绕攻击链建立 Event ID 监控矩阵,而非孤立地看单个事件
-
分层存储架构兼顾实时检测与长期合规
-
运营报表驱动持续改进,而非只做被动响应