Fragt kontinuierlich die aktuelle Audit-Politik ab, so dass der aktuelle Audit-Status jedes überwachten Systems in den Web Reports verfügbar ist. Policy Change Tracking fängt auch verschiedene Ereignisse im Zusammenhang mit Policy-Änderungen ab, wie z.B. die Änderung einer Domain-Passwort-Policy oder die Zuweisung eines Benutzerrechts.
Richtlinienänderungen
Verfolgt alle Richtlinienänderungen, einschließlich
• Änderungen der Domänenrichtlinien (z. B. Änderungen der Passwortrichtlinien)
• Änderungen der Überwachungsrichtlinien
• Änderungen der Kerberosrichtlinien
Event IDs |
Policy Changes 4719, 4713, 4739 (legacy: 612, 617, 643) |
Benutzerrechte
Überwacht wenn Benutzerrechte an Benutzerkonten zugewiesen oder von Benutzerkonten entfernt werden, z.B. das Recht "Auslagerungsdatei erstellen".
Event IDs |
User Rights Changes 4704, 4705 (legacy: 608, 609) |
Anmelderechte
Überwacht wenn Anmelderechte gewährt oder aus Benutzerkonten entfernt werden, z.Bsp. "Logon as a service".
Event IDs |
Logon Rights Changes 4717, 4718 (legacy: 621, 622) |
Vertrauensbeziehungen
Überwatcht alle Änderungen an Vertrauensbeziehungen, einschließlich der Erstellung, Änderung und Entfernung von Vertrauensbeziehungen.
Event IDs |
Trust Relationship Changes 4706, 4707, 4716 (legacy: 610, 611, 620) |
Quell-IP-Adresse und Computername abrufen
Wenn die im Kontoverwaltungsereignis enthaltene Anmelde-ID mit einer früheren Anmeldesitzung verknüpft (korreliert) werden kann, dann enthält EventSentry die IP-Adresse und/oder den Hostnamen. Für den Fall, dass nur der Hostname oder die IP-Adresse verfügbar ist, wird ein DNS (Reverse) Lookup durchgeführt, um die fehlenden Informationen zu ermitteln.
Da DNS-Daten, vor allem wenn DHCP IP-Adressen involviert sind, nicht immer 100% genau sind, sollte man sich nicht nur auf diese Daten verlassen.
