Anasayfa » ManageEngine ADAudit Plus ile Sunucularımızdaki Olay Kayıtlarının Toplanması ve Raporlanması–Bölüm 2

Share This Post

3. Parti Yazılımlar / Uncategorized

ManageEngine ADAudit Plus ile Sunucularımızdaki Olay Kayıtlarının Toplanması ve Raporlanması–Bölüm 2

ManageEngine’nin domain ortamımızdaki ve çalışma ortamımızdaki olayların kayıtlarının toplanması ve anlamlı hale dönüştürülerek raporlanması için geliştirdiği ADAudit Plus’ın kurulumunu ve olay kayıtlarının toplanmasını ManageEngine ADAudit Plus ile Sunucularımızdaki Olay Kayıtlarının Toplanması ve Raporlanması–Bölüm 1’de (http://www.cozumpark.com/blogs/3party/archive/2014/10/06/manageengine-adaudit-plus-ile-sunucularimizdaki-olay-kayitlarinin-toplanmasi-ve-raporlanmasi-bolum-1.aspx ) anlatmıştım. Bu makalemizde ADAudit Plus’ta hazır olarak bulunan 160’dan fazla raporun bir kısmını örneklerle anlatmaya çalışacağım.

 

clip_image001

 

ManageEngine ADAudit Plus hakkında detaylı bilgi için aşağıdaki linkten yararlanabilirsiniz.

 

http://www.manageengine.com/products/active-directory-audit/

 

clip_image002

ADAudit Plus’ın web paneline giriş için kullanıcı adı ve şifremizi giriyoruz. Login butonuna basarak web panele ulaşıyoruz.

Sponsor

clip_image003

Web panele ulaşınca karşımıza daha önceki makalemizde bahsettiğimiz Graphical View ekranı geliyor. Kısaca bu ekran bizim dashboardumuz diyebiliriz.

clip_image004

Graphical View’in hemen yanında da varsayılanda sabah 05:00’de çalışıp toplanan olay kayıtlarının özet bilgisini gösteren Summary View’i görüyoruz.

clip_image006

Summary View’deyken de ilgili konunun yanındaki rakama tıklayarak da ilgili olaylara ulaşabiliriz. Örneğin Group Policy Objectlerinde yani GPO’ları izlediğimiz kısımda bulunan GPO Creation’a bakarsak 1 adet GPO oluşturulduğunu görüyoruz. 1’e tıkladığımızda da bizi Reports tabındaki ilgili rapora yönlendiriyor.

clip_image007

Ozgur.local domaininde son 24 saatte Administrator kullanıcısın dcsrv sunucusu üzerinden ADAdudit Plus GPO adında bir GPO oluşturduğunu görüyoruz. Tabiki bu GPO’nun nerelere atandığı veya linklendiğinide görebiliriz. Şimdilik raporlara giriş kısmında bu detaylara değinmiyorum.

Bütün raporların sağ üst kösesinde bulunan kısımlara bakalım.

clip_image008

İlgili raporda Export As’e tıkladığımızda csv, pdf, excel ve html olarak raporların kaydedilebildiğimizi görüyoruz.

clip_image009

Add To’da bulunan Add To My Reports ile bu raporu Graphical View’da sağ alt tarafta bulunan My Reports’a kısayol olarak ekleyebiliriz.

Schedule This Report, Schedule Report alanına erişmemizi sağlamaktadır.

clip_image010

Schedule Report’a hangi raporlar hangi zaman aralığında ne sıklıkta hangi formatta hangi mail adresine yollanacağını ayarlayabilir ve olayların raporlarını istediğimiz zamanda rahatlıkla kontrol etmemize olanak tanır.

clip_image011

Ayrıca Schedule Report’ta farklı formatlarda birçok raporu zamanlayabilir ve farklı faklı kişilere gönderimini sağlayabiliriz.

İlgili raporda Make As Default Report’a tıkladığımızda rapor, Report tabının varsayılan raporu olarak atanmakta ve Report’a her tıkladığımızda karşımıza bu rapor açılmaktadır.

clip_image012

More kısmındaki Printable View ile yazıcıdan çıktı almadan önceki son haline bakabilir ve çıktı alabilirsiniz.

New Report Profile ile yeni bir rapor profili oluşturabilir ve istediğimiz özellikte raporlar oluşturabiliriz.

clip_image013

clip_image014

Change Annotation’dan da ilgili raporun açıklamasını düzenleyebiliriz.

clip_image016

ManageEngine ADAudit Plus’ın raporlarında göreceğimiz diğer bir ortak özellikse tüm gün, çalışma saati ve çalışma saati dışı ayrımı olarak raporlarımızı görebileceğimizdir.

Olay kayıtlarının incelemesine çalışma saatlerinin haricindeki olayların kayıtlarına daha çok dikkat etmemiz ve neler olup bittiğini daha detaylı inceleyebilmemiz için güzel bir özellik. Bir önceki makalemizde bu ayarın yerini anlattığım için burada çalışma saati ayarlarına girmiyorum.

clip_image017

Şimdi de ManageEngine ADAudit Plus’ın Reports tabındaki 160’dan fazla hazır rapora bakalım.

ManageEngine ADAudit Plus raporlar 16 ayrı kategoride toplanmıştır.

1.       User Logon Reports

2.       Local Logon-Logoff

3.       Account Management

4.       User Management

5.       Group Management

6.       Computer Management

7.       OU Management

8.       GPO Management

9.       Advanced GPO Reports

10.   Other AD Object Changes

11.   Configuration Auditing

12.   Permission Changes

13.   DNS Changes

14.   Removable Storage Audit

15.   Domain Object Changes

16.   Profile Based Reports

Şimdi bu kategorilerde hangi tür raporların toplandığına bakarak bir iki örnekle üzerinden geçelim. Rapor sayısının fazlalığından dolayı raporların üzerinden geçmemiz çokta mümkün görünmüyor. J

1.       User Logon Reports

 

Kullanıcıların Domain Controller’lara, mevcut diğer sunuculara veya istemci bilgisayarlarına yapılan giriş denemeleri, başarılı – hatalı, olay kayıtlarının raporlarının görülebileceği kategoridir. Ayrıca kullanıcıların son logon tarihleri, logon oldukları bilgisayarlar gibi çeşitli raporlarda bulunmaktadır.

 

Ø  Logon Failures

Ø  Logon Failures based on users

Ø  Failures due to Bad Password

Ø  Users First and Last Logon By Computers

Ø  Failures due to Bad User Name

Ø  Logon Activity based on DC

Ø  Logon Activity based on IP Address

Ø  Domain Controller Logon Activity

 

Örnekte DCSRV domain controller’a logon olmayı deneyen kullanıcıları ve deneme sayılarıyla hemen altında logon işleminin detaylarını görebiliyoruz. ADAuditTestUser6’nın DCSRV üstünden DCSRV domain controller’A 20 kere deneme yaptığını ve yanlış parola girdiğinin alttaki detaydan görebiliyoruz.

 

Birinci makalede de aktardığımız bir özelliği de hatırlatmakta fayda var. Sağ üste bulunan Exclude User Accounts’dan raporda görmek istemediğiniz kullanıcıların raporlarda hariç tutulmasını sağlayabiliriz.

 

clip_image018

 

Ø  Member Server Logon Activity

Ø  Workstation Logon Activity

Ø  User Logon Activity

Ø  Recent User Logon Activity

Ø  Last Logon on Workstations

Ø  User’s Last Logon

 

Kullanıcıların en son hangi istemciden logon yani giriş işlemi yaptığını görebileceğimiz rapordur. Burada giriş tarihi istemci adı ve ip adresi ile bu logon işleminde kullanılan domain controller gibi bilgileri görebiliriz.

 

clip_image019

 

Ø  Users logged into multiple computers

 

Bir kullanıcı farklı farklı istemcilerde oturum açılmışsa bu rapor sayesinde nerede ve ne zaman açıldığını görebiliriz.

 

clip_image020

 

2.       Local Logon-Logoff

 

Sunucuların veya istemcilerin lokal olarak giriş çıkış işlemlerinin raporlarının bulunduğu kategoridir.

 

Ø  Currently Logged On Users

Ø  Logon Duration

Ø  Local Logon Failures

Ø  Logon History

 

Kullanıcıların logon geçmişlerini detayları ile inceleyebiliriz.

clip_image022

Ø  Terminal Services Activity

Ø  Users Logon Duration on Computers

Ø  Interactive Logon Failure

Ø  Terminated Users Session

Ø  RADIUS Logon Failures(NPS)

Ø  RADIUS Logon History(NPS)

 

3.       Account Management

 

Acount olarak tabir ettiğimiz kullanıcı, bilgisayar, grup, yapısal birimlerin ve group policy objelerinde yapılan olayların kayıtlarına ait raporlar bu kategoride bulunur.

 

Bu kategorideki raporların genel olduğunu ve her acountla ilgili detay bilgilerin aşağıdaki kategorilerde görülebileceğini de belirtmek isterim.

 

Ø  All AD Changes

Ø  All AD Changes By User

Ø  All AD Changes on DCs

Ø  User Management

 

Kullanıcı hesaplarıyla ilgili kullanıcı açma, silme, hesaplardaki değişiklikleri bu raporda topluca görebiliriz. Örnekte son 30 gün içinde kullanıcı hesaplarındaki olayların ne olduğu bir pasta grafik şeklinde görebiliyor ve detaylarına bakabiliyoruz. İlk olay kaydında ADAduitTestUser4’ün parolasının administrator tarafından dcsrv domain controller’ından ayın 10’da resetlendiği ve bu resetlemenin başarılı olarak gerçekleştiğini görüyoruz.

 

clip_image023

 

Ø  Group Management

Ø  Computer Management

Ø  OU Management

 

OU’larla ilgili oluşturma – silme ve değiştirme işlemlerinin örneğini altta görebiliyoruz.

 

clip_image024

 

Ø  GPO Management

Ø  Administrative User Actions

 

4.       User Management

 

Kullanıcı hesaplarınızla ilgili detay bilgi mi lazım? J ManageEngine ADAudit Plus’un kullanıcılarla ilgili detay raporlarında aradığınızı bulamamanız çok söz konusu değil. İsimlerinden raporların ne olduğu zaten net olarak anlaşılıyor ve her rapora tek tek girmemiz çok mümkün olmadığından en son eklenen ve şıkça başımıza gelen kullanıcı hesapların kitlenmesi sorununa çözüm olarak geliştirilen Account Lockout Analyzer rapora bakalım.

 

Ø  Recently Created Users

Ø  Recently Deleted Users

Ø  Recently Enabled Users

Ø  Recently Disabled Users

Ø  Recently Locked Out Users

Ø  Recently Unlocked Users

Ø  Frequently Lockedout Users

Ø  Recently Password Changed Users

Ø  Frequently Unlocked Users

Ø  Recently Password Set Users

Ø  User Based Password Changes

Ø  User Based Password Reset

Ø  Password Never Expires Set Users

Ø  Recently Modified Users

Ø  Extended Attribute Changes

Ø  User Attribute New and Old Value

Ø  Account Lockout Analyzer

 

Örneğimizde son 30 gün içinde kullanıcılarımızdan AdAuditTestUser6’nın hesabının TSTSRV üzerinden lockout olduğunu yani kilitlendiğini görüyoruz.

 

clip_image025

 

Peki bu hesap neden kilitlendi incelemek istiyorsak Analyzer Details’a tıklayarak detaylara bakalım.

 

clip_image026

 

AdAuditTestUser6’nın hesabının herhangi bir Windows servis, zamanlanmış dosyalara, network paylaşımında vb. kullanılmadığını görüyoruz. Eğer bu hesap herhangi bir yere girilmiş olsaydı arayüzde detaylı olarak onu görebilecektik. Hala hesabın neden kilitlendiğinin sebebini bulmuş değiliz.

 

AdAuditTestUser6’nın TSTSRV’ye logon yani giriş detaylarına Logon History’e tıklayıp bakalım.

 

clip_image027

 

Görüldüğü üzere kullanıcımız AdAuditTestUser6, TSTSRV’ye girerken hep yanlış şifre girmiş ve hesabı kilitlenmiş.

 

Ø  Last Modification on Users

Ø  User Object History

 

5.       Group Management

 

Domian ortamızdaki diğer bir sorun gruplarımızda yapılan değişikliklerin neler olduğu ve kimin bu değişikliği yaptığının görülememesidir. Bu sorun çoğunlukla bilgi teknolojileri personelinin tartışmasına kadar uzayabilmektedir. Grouplarda gerçekleşen olay kayıtlarını saklamak ve gerektiğin de dönüp incelemek için gereken raporlar bu kategoride bulunmaktadır.

 

Ø  Recently Created Security Groups

Ø  Recently Created Distribution Groups

Ø  Recently Deleted Security Groups

Ø  Recently Deleted Distribution Groups

Ø  Recently Modified Groups

Ø  Recently Added Members to Security Groups

 

“Güvenlik için güvenlik gruplarınıza dikkat ediniz!” Murat CAN J

 

Eğer sizde tüm yetkilendirmeleri güvenlik grupları üzerinden yapıyorsanız, güvenlik gruplarını kimlerin, ne zaman ve kim tarafından eklendiğini görmelisiniz. Bu raporda tamda bu isteğimizi karşılıyor.

 

Örneğimizde AdAuditTestGroup’una administrator kullanıcısı tarafından AdAuditTestUser4 kullanıcısının DCSRV üstünden eklendiğini görüyoruz.

 

Alttaki örneklerdeyse AdAuditTestUser3 ve AdAuditTestUser5 kullanıcılarının administrator kullanışı tarafından Administrators grubuna eklendiğini görüyoruz.

 

Bu örneklerde yanlış bir şey olduğunun da altını çizmek istiyorum. Her sistem yöneticisi çok gerekmedikçe kendi sahsına ait hesap ile işlem yapmalı ki loglarda kimin ne yaptığı görülebilsin.

 

clip_image028

 

 

Ø  Recently Added Members to Distribution Groups

Ø  Recently Removed Members from Security Groups

Ø  Recently Removed Members from Distribution Groups

Ø  Extended Attribute Changes

Ø  Group Attribute New and Old Value

Ø  Group Object History

 

6.       Computer Management

 

Bilgisayar hesaplarıyla ilgili detaylı raporlara bu kategoriden ulaşabilirsiniz.

 

Ø  Recently Created Computers

Ø  Recently Deleted Computers

Ø  Recently Modified Computers

Ø  Recently Enabled Computers

Ø  Recently Disabled Computers

Ø  Extended Attribute Changes

Ø  Computer Attribute New and Old Value

Ø  Computer Object History

 

7.       OU Management

 

Organization unit yani yapısal birimlerimizdeki değişikliklerle ilgili raporlarda burada bulunmaktadır.

 

Ø  Recently Created OUs

Ø  Recently Deleted OUs

Ø  Recently Modified OUs

Ø  Extended Attribute Changes

Ø  OU History

 

8.       GPO Management

 

Group policy objectlerindeki yani GPO’larla ilgili raporlarda bu kategoride yer almaktadır.

 

Ø  Recently Created GPOs

Ø  Recently Deleted GPOs

Ø  Recently Modified GPOs

Ø  GPO Link changes

Ø  GPO History

 

9.       Advanced GPO Reports

 

Bir konunun başında advance yani gelişmiş geçiyorsa orada duracaksın J

 

Hemen üstte GPO ile ilgili raporlara ulaşıyorduk ama bu sefer GPO’larda yapılan değişikliklerin neler olduğunu neyle ilgili olduğunu görebiliyoruz. GPO’lar domain ortamımızdaki en güçlü kozumuz olduğu için GPO’larda yapılan her değişikliği takip etmemiz önem arz etmektedir.

 

Ø  Group Policy Settings Changes

Ø  Computer Configuration Changes

Ø  User Configuration Changes

Ø   Password Policy Changes

Ø  Account Lockout Policy Changes

 

Örneğimizde Default Domian Policy’de bulunan Account Lockout’ta administrator kullanıcısının ayın 11’inde bir değişiklik yaptığı ve 1 kuralı değiştirdiğiyle 2 kuralı kaldırdığı görülüyor.

 

Details’e tıkladığımızda da değiştirilen ve kaldırılan kuralların değişiklikten önceki haliyle değişiklikten sonraki halini görebiliyoruz.

 

Bence ManageEngine ADAudit Plus’un bu raporlaması gerçekten çok başarılı.

 

clip_image029

 

Ø  Security Settings Changes

Ø  Administrative Template Changes

Ø  User Rights Assignment Changes

Ø  Windows Settings Changes

Ø  Group Policy Permission Changes

Ø  Group Policy Preferences Changes

Ø  Group Policy Settings History

Ø  Extended Attribute Changes

 

10.   Other AD Object Changes

 

AD üstündeki kullanıcı, grup, bilgisayar ve gpo dışındaki accountların dışında bulunan container ve contactların raporlarına bu kategoriden ulaşabilirsiniz.

 

Ø  Password Settings Object Changes

Ø  Recently Created Containers

Ø  Recently Deleted Containers 

Ø  Recently Modified Containers

Ø  Containers Permission Changes

Ø  Recently Created Contacts

Ø  Recently Deleted Contacts

Ø  Recently Modified Contacts

 

11.   Configuration Auditing

 

Bu kategoriden Active Directory üstünde gerçekleşen schema değişiklikleriyle site yapımızda olan olayların kayıtlarına ulaşabiliriz.

 

Ø  Schema Changes

Ø  Schema Permission Changes

Ø  Configuration Permission Changes

Ø  Configuration Changes

Ø  Site Changes

 

Örnekte varsayılan site ismimiz olan Default-First-Site-Name’in administrator tarafından DCSRV üstünden Site olarak değiştirildiğini detaylarıyla görebiliyoruz.

clip_image030

 

12.   Permission Changes

 

Domain ortamımızdaki en önemli konulardan biride mevcut domainimizde bulunan hesapları yönetme haklarında yapılan değişikliklerin takibidir. Kimlerin kimlere hangi hesaplar üzerinde yetki verdiği takip edilmesi gereken ciddi bir güvenlik kontrolüdür.

 

Ø  Domain Level Permission Changes

Ø  OU Permission Changes 

Ø  Container Permission Changes

Ø  GPO Permission Changes

Ø  User Permission Changes

 

Örneğimizde kullanıcı haklarına yapılan değişikliklerin nasıl göründüğünü inceleyelim.

 

Administrator kullanıcısının AdAuditTestUser5 kullanıcısına DCSRV üzerinden yetki verildiği görülüyor. Eski ve yeni yetkileri More ile görebiliyoruz.

 

clip_image031

 

Ø  Group Permission Changes

Ø  Computer Permission Changes

Ø  Schema Permission Changes

Ø  Configuration Permission Changes

Ø  DNS Permission Changes

 

13.   DNS Changes

 

Active Directory dediğimizde yanında DNS geçmezse olmaz. O yüzden AD’de ne olup bittiğinin olay kayıtlarının toplanması ve incelenmesi kadar DNS üzerindeki olay kayıtları da önemlidir. DNS ile ilgili birçok raporu bu kategoriden ulaşabiliriz.

 

Ø  DNS Nodes Added

Ø  DNS Nodes Removed

Ø  DNS Nodes Modified

Ø  DNS Zones Added 

Ø  DNS Zones Removed 

Ø  DNS Zones Modified

Ø  DNS Permission Changes

 

14.   Removable Storage Audit

 

Tak çıkar medyalar üzerinde yapılan dosya veya klasör oluşturma, değiştirme gibi olayların kayıtlarının raporlarını bu kategoriden görebiliyoruz.

 

Ø  All File or Folder Changes

Ø  File Read 

Ø  File Modified 

Ø  File Copy and Paste

 

15.   Domain Object Changes

 

Domain’deki policy, DNS ve level değişikliklerinin raporlarını bu kategoriden inceleyebiliriz.

 

Ø  Domain Policy Changes

Ø  Changes to Domain DNS Object

Ø  Domain Level Permission Changes

 

16.   Profile Based Reports

 

Bu kategori önceki raporların profil bazlı olarak toplanmış halidir. En önemli kısmı da uyarı maili gönderilebilecek şekilde ayarlanmıştır.

 

clip_image032

Makalemizin bu bölümünün de sonuna geldik. ManageEngine ADAudit Plus’ın kontrol panelinde bulunan Reports tabındaki kategorileri ve bu kategorilerdeki raporlara elimizden geldiğince değinmeye çalıştık.

 

Önümüzdeki makalemizde ManageEngine ADAudit Plus’ın Alert tabına bakacağız ve hangi olaylarda tarafımıza bilgilendirme maili gönderilmesini istediğimizi ayarlayacağız.

 

Makalemizin bir sonraki bölümünde görüşmek üzere.

 

Share This Post

Leave a Reply