KÜRT Zrt. Logelemzés heti riport Felhasználói fiók, illetve felhasználói csoportkezelési műveletek

Hasonló dokumentumok
Operációs Rendszerek I.

4. Gyakorlat: Csoportházirend beállítások

Utolsó módosítás:

SAMBA. Forrás: Lajber Zoltán: SAMBA alapok dia, SZIE

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 6. óra. Kocsis Gergely, Supák Zoltán

11. Gyakorlat: Certificate Authority (CA), FTP site-ok

10. Gyakorlat: Alkalmazások publikálása Remote Desktop Szervízen keresztül

LINUX LDAP címtár. Mi a címtár?

Utolsó módosítás:

Mesterséges Intelligencia (Hasonlóságelemzés) alkalmazása az információvédelem területén. Csizmadia Attila CISA

Laborgyakorlat: A Windows XP haladó telepítése

Csatlakozás a BME eduroam hálózatához Setting up the BUTE eduroam network

3. Gyakorlat: Bevezetés a vbs script-be és a powershell-be, AD recycle bin

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

3/2010. sz. Gazdasági Főigazgatói Utasítás a PTE rendszereihez az egyetem külső partnerei részére adott távoli hozzáférések szabályozásáról

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 7. óra. Kocsis Gergely, Kelenföldi Szilárd

2. gyakorlat: Tartományvezérlő, DNS, tartományba léptetés, ODJ, Core változat konfigurálása, RODC

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

Mobil Telefonon Keresztüli Felügyelet Felhasználói Kézikönyv

Melyek a Windows Server 2008 R2 tiszta telepítésének (Clean Install) legfontosabb lépései?

Oracle Audit Vault and Database Firewall. Gecseg Gyula Oracle DBA

Dr. Sipos Marianna ZMNE BJKMK

A Windows Vista felhasználókezelése

Symfony kurzus 2014/2015 I. félév. Security: authentication, authorization, user provider, role-ok, access control, FOS user bundle

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 9. óra. Kocsis Gergely, Kelenföldi Szilárd

BOOKING GUIDE. itbroadcast - INFOTÉKA

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

API tervezése mobil környezetbe. gyakorlat

1. Gyakorlat: Telepítés: Windows Server 2008 R2 Enterprise, Core, Windows 7

2. Tartományvezérlő, DNS, Core konfigurálása, Powershell

Samba. SMB/CIFS hálózat, heterogén hálózatok. Készítette: Sallai András

Az operációs rendszerek fejlődése

Yealink SIP Phone család. webes programozási útmutató. A leírás a MySIP X.50 IPPBX alközpont mellékleteként készült. v Young BTS. Kft.

SQLServer. Védelmi struktúra

Hangyász Hibakövető Rendszer

Sintony SAK 41. Kezelési utasíitás 8AA D0-20/10/99 - UK -

További lehetőségek. Nighthawk X6 AC3200 Tri-Band WiFi-router. R8000-as modell

1/9. Sunell IP kamerák webes felületének használati útmutatója. Élő kép (Live Video)

Teszt topológia E1/1 E1/0 SW1 E1/0 E1/0 SW3 SW2. Kuris Ferenc - [HUN] Cisco Blog -

Csoportkezelés a szövetségben

Verziókezelt konfigurációmanagement++ Pásztor György, SZTE Klebelsberg Könyvtár

Biztonság java web alkalmazásokban

Cisco Catalyst 3500XL switch segédlet

Operációs Rendszerek I. Jogosultságkezelés

Viczián István IP Systems JUM XIX szeptember 18.

BackupPC. Az /etc/hosts fájlba betehetjük a hosztokat, ha nem a tejles (fqdn, DNS név) névvel hivatkozunk rájuk: # /etc/hosts #

Idő szinkron problémák Windows 2k rendszereknél

Hegyi Béla, technikai tanácsadó. Cisco MARS Bemutatása

Felhasználói Útmutató. Center V2

Novell és Windows7 bejelentkezési jelszavak módosítása

S z á m í t ó g é p e s a l a p i s m e r e t e k

1. Ismerkedés a Hyper-V-vel, virtuális gépek telepítése és konfigurálása

Enterprise User Security

9. Gyakorlat: Network Load Balancing (NLB)

Adatbázis kezelés Delphiben. SQL lekérdezések

Windows hálózati adminisztráció

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 5. óra. Kocsis Gergely, Supák Zoltán

Debreceni Egyetem Matematikai és Informatikai Intézet. 13. Védelem

(NGB_TA024_1) MÉRÉSI JEGYZŐKÖNYV

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

A First Businesspost Sender Cockpit használata

Tartalomjegyzék. I. rész: Az ügyfél Alapismeretek 3. Előszó

DX800. DX800 A all in one. A all in one GIGASET. INSPIRING CONVERSATION.

1. sz. melléklet: Az önálló PDC-ként működő Samba szerver konfigurációs állománya

Next Generation Cyber Security Platform. Pintér András YOUNG ENTERPRISE DAY Október 2.

Bejelentkezés az egyetemi hálózatba és a számítógépre

Input Output Műveletek

8. Felhasználókezelés, jogosultságkezelés

DICENTIS. Wireless Conference System. User manual

FELHASZNÁLÓI KÉZIKÖNYV 1.sz. melléklet

Tájékoztató a kollégiumi internet beállításához

A CAPICOM ActiveX komponens telepítésének és használatának leírása Windows7 operációs rendszer és Internet Explorer 8-es verziójú böngésző esetén

Hálózati betekint ő program telepítése mobil telefonra. Symbian. alarm shop. Windows mobile Android IPhone Blackberry

chmod umask chown, chgrp

Vírusmentesítés naplóelemző eszközökkel

Windows Pegasus Mail - Mercury levelezõ rendszer telepítése

Tartalomjegyzék 2. RENDSZER FELÉPÍTÉSE... 3

LOGalyze Telepítési és Frissítési Dokumentáció Verzió 3.0

MKB. Mobil NetBANKár. Mobil eszköz és böngészı beállítások

DOAS változások, összefoglaló

Vodafone HomeNet Huawei B315

Windows biztonsági problémák

Windows Server 2008 Standard telepítése lépésenként VirtualBox virtuális gépbe

Windows Szerver teszt

K&H Központosított felhasználó adminisztráció gyakorlati megvalósítása

Moodle -egy ingyenes, sokoldalú LMS rendszer használata a felsőoktatásban

NetIQ Novell SUSE újdonságok

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Alkalmazás-shop (Internet-kapcsolat szükséges)

1. A Windows Vista munkakörnyezete 1

NEPTUN ID BMENET ID. Címtár BME VPN. vcenter VPN SVN. Trac Wiki. Wifi

Csoport neve: Kisiskolások Feladat sorszáma: 2. Feladat címe: Oktatási intézmény honlapja, oktatási naplóval. E-Project.

GDi Esri Magyarország Felhasználói Konferencia Timár Gábor: Konkurens adatfeldolgozás ArcGIS rendszerben

Mérési útmutató a Secure Shell (SSH) controll és audit című méréshez

Szakmai továbbképzési nap akadémiai oktatóknak december 14. HISZK, Hódmezővásárhely / Webex

L7000 típusú Ujjlenyomatos ajtózár. Használati útmutató

Fábián Zoltán Hálózatok elmélet

Rövid használati útmutató

Gyors üzembe helyezés

Regisztráció a Researcher ID adatbázisban

Átírás:

KÜRT Zrt. Logelemzés heti riport Felhasználói fiók, illetve felhasználói csoportkezelési műveletek

KÜRT Zrt. 2/9

1. A DOKUMENTUM ADATLAPJA Ez a dokumentum a SeConical rendszer Logdrill moduljában került generálásra, szerkeszthető formátumban. A dokumentum bizalmas információkat tartalmaz! Jelen dokumentum a KÜRT Zrt. részére készült. A dokumentumot részben vagy egészben másolni, vagy bármi más módon mások számára elérhetővé tenni kizárólag a KÜRT Zrt. hozzájárulásával megengedett. Azonosítás Dokumentum adatai Vállalat neve KÜRT Zrt. Projekt neve Kürt ISO 2016 Dokumentum típusa Logelemzés heti riport Állomány neve SeConical_04_riport Dokumentum generálás dátuma 2017-07-28 13:47 KÜRT Zrt. 3/9

2. FELHASZNÁLÓI FIÓK, ILLETVE FELHASZNÁLÓI CSOPORTKEZELÉSI MŰVELETEK Az alábbi diagramokon a vizsgált időszakban naplózott felhasználói fiók, illetve felhasználói csoportkezelési műveletek (úgymint: felvétel, létrehozás, engedélyezés, letiltás, módosítás, törlés, felfüggesztés, csoporttagságok változása - pl. admin által) számának alakulása látható napi bontásban. aaa2. A vizsgált időszak: 2017.07.21-2017.07.27 A vizsgált rendszerek: Windows alapú rendszerek Cisco ASA tűzfalak KÜRT Zrt. 4/9

2.1 WINDOWS ALAPÚ RENDSZEREK Az alábbi diagramon a vizsgált időszakban naplózott felhasználói fiók, illetve felhasználói csoportkezelési műveletek (úgymint: felvétel, létrehozás, engedélyezés, letiltás, módosítás, törlés, felfüggesztés, csoporttagságok változása - pl. admin által) számának alakulása látható napi bontásban. Az események vizsgálatával ellenőrizhetők a jóváhagyás nélkül végrehajtott felhasználói fiók változások és a kiemelt jogosultsággal történő visszaélések. 35 30 25 20 15 Eseményszám 10 5 0 Az események számának hirtelen növekedése, vagy adminisztrátor fiókon végzett bármilyen nem tervezett módosítás utalhat illetéktelen hozzáférésre, rosszindulatú tevékenységre. Ilyen esetekben javasolt a további vizsgálat. KÜRT Zrt. 5/9

2.1.1 NAPLÓ RÉSZLETEK Részlet az eseményekhez kapcsolódó naplóbejegyzésekből: <Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><system><provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA- 3E3B0328C30D}'/><EventID>4720</EventID><Version>0</Version><Level>0</Level><Task>13824</Task>< Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2016-07- 25T13:55:39.381479300Z'/><EventRecordID>1705</EventRecordID><Correlation/><Execution ProcessID='544' ThreadID='596'/><Channel>Security</Channel><Computer>jenkinsnode04</Computer><Security/></Syste m><eventdata><data Name='TargetUserName'>bviktor</Data><Data Name='TargetDomainName'>JENKINSNODE04</Data><Data Name='TargetSid'>S-1-5-21-2637996- 1648435033-1708909359-1000</Data><Data Name='SubjectUserSid'>S-1-5-21-2637996-1648435033-1708909359-500</Data><Data Name='SubjectUserName'>Administrator</Data><Data Name='SubjectDomainName'>JENKINSNODE04</Data><Data Name='SubjectLogonId'>0x314fa</Data><Data Name='PrivilegeList'>-</Data><Data Name='SamAccountName'>bviktor</Data><Data Name='DisplayName'>%%1793</Data><Data Name='UserPrincipalName'>-</Data><Data Name='HomeDirectory'>%%1793</Data><Data Name='HomePath'>%%1793</Data><Data Name='ScriptPath'>%%1793</Data><Data Name='ProfilePath'>%%1793</Data><Data Name='UserWorkstations'>%%1793</Data><Data Name='PasswordLastSet'>%%1794</Data><Data Name='AccountExpires'>%%1794</Data><Data Name='PrimaryGroupId'>513</Data><Data Name='AllowedToDelegateTo'>-</Data><Data Name='OldUacValue'>0x0</Data><Data Name='NewUacValue'>0x15</Data><Data Name='UserAccountControl'> %%2080 %%2082 %%2084</Data><Data Name='UserParameters'>%%1793</Data><Data Name='SidHistory'>-</Data><Data Name='LogonHours'>%%1797</Data></EventData><RenderingInfo Culture='en-US'><Message>A user account was created.subject: Security ID: S-1-5-21-2637996-1648435033-1708909359-500 Account Name: Administrator Account Domain: JENKINSNODE04 Logon ID: 0x314faNew Account: Security ID: S-1-5-21-2637996-1648435033-1708909359-1000 Account Name: bviktor Account Domain: JENKINSNODE04Attributes: SAM Account Name: bviktor Display Name: <value not set> User Principal Name: - Home Directory: <value not set> Home Drive: <value not set> Script Path: <value not set> Profile Path: <value not set> User Workstations: <value not set> Password Last Set: <never> Account Expires: <never> Primary Group ID: 513 Allowed To Delegate To: - Old UAC Value: 0x0 New UAC Value: 0x15 User Account Control: Account Disabled 'Password Not Required' - Enabled 'Normal Account' - Enabled User Parameters: <value not set> SID History: - Logon Hours: AllAdditional Information: Privileges -</Message><Level>Information</Level><Task>User Account Management</Task><Opcode>Info</Opcode><Channel>Security</Channel><Provider>Microsoft Windows security auditing.</provider><keywords><keyword>audit Success</Keyword></Keywords></RenderingInfo></Event> <Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><system><provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA- 3E3B0328C30D}'/><EventID>4720</EventID><Version>0</Version><Level>0</Level><Task>13824</Task>< Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2016-07- 25T13:55:39.381479300Z'/><EventRecordID>1705</EventRecordID><Correlation/><Execution KÜRT Zrt. 6/9

ProcessID='544' ThreadID='596'/><Channel>Security</Channel><Computer>jenkinsnode04</Computer><Security/></Syste m><eventdata><data Name='TargetUserName'>bviktor</Data><Data Name='TargetDomainName'>JENKINSNODE04</Data><Data Name='TargetSid'>S-1-5-21-2637996- 1648435033-1708909359-1000</Data><Data Name='SubjectUserSid'>S-1-5-21-2637996-1648435033-1708909359-500</Data><Data Name='SubjectUserName'>Administrator</Data><Data Name='SubjectDomainName'>JENKINSNODE04</Data><Data Name='SubjectLogonId'>0x314fa</Data><Data Name='PrivilegeList'>-</Data><Data Name='SamAccountName'>bviktor</Data><Data Name='DisplayName'>%%1793</Data><Data Name='UserPrincipalName'>-</Data><Data Name='HomeDirectory'>%%1793</Data><Data Name='HomePath'>%%1793</Data><Data Name='ScriptPath'>%%1793</Data><Data Name='ProfilePath'>%%1793</Data><Data Name='UserWorkstations'>%%1793</Data><Data Name='PasswordLastSet'>%%1794</Data><Data Name='AccountExpires'>%%1794</Data><Data Name='PrimaryGroupId'>513</Data><Data Name='AllowedToDelegateTo'>-</Data><Data Name='OldUacValue'>0x0</Data><Data Name='NewUacValue'>0x15</Data><Data Name='UserAccountControl'> %%2080 %%2082 %%2084</Data><Data Name='UserParameters'>%%1793</Data><Data Name='SidHistory'>-</Data><Data Name='LogonHours'>%%1797</Data></EventData><RenderingInfo Culture='en-US'><Message>A user account was created.subject: Security ID: S-1-5-21-2637996-1648435033-1708909359-500 Account Name: Administrator Account Domain: JENKINSNODE04 Logon ID: 0x314faNew Account: Security ID: S-1-5-21-2637996-1648435033-1708909359-1000 Account Name: bviktor Account Domain: JENKINSNODE04Attributes: SAM Account Name: bviktor Display Name: <value not set> User Principal Name: - Home Directory: <value not set> Home Drive: <value not set> Script Path: <value not set> Profile Path: <value not set> User Workstations: <value not set> Password Last Set: <never> Account Expires: <never> Primary Group ID: 513 Allowed To Delegate To: - Old UAC Value: 0x0 New UAC Value: 0x15 User Account Control: Account Disabled 'Password Not Required' - Enabled 'Normal Account' - Enabled User Parameters: <value not set> SID History: - Logon Hours: AllAdditional Information: Privileges -</Message><Level>Information</Level><Task>User Account Management</Task><Opcode>Info</Opcode><Channel>Security</Channel><Provider>Microsoft Windows security auditing.</provider><keywords><keyword>audit Success</Keyword></Keywords></RenderingInfo></Event> KÜRT Zrt. 7/9

2.2 CISCO ASA TŰZFALAK Az alábbi diagramon a vizsgált időszakban naplózott felhasználói fiók, illetve felhasználói csoportkezelési műveletek (úgymint: felvétel, létrehozás, engedélyezés, letiltás, módosítás, törlés, felfüggesztés, csoporttagságok változása - pl. admin által) számának alakulása látható napi bontásban. Az események vizsgálatával ellenőrizhetők a jóváhagyás nélkül végrehajtott felhasználói fiók változások és a kiemelt jogosultsággal történő visszaélések. 3,5 3 2,5 2 1,5 Eseményszám 1 0,5 0 Az események számának hirtelen növekedése, vagy felhasználói fiókon végzett bármilyen nem tervezett módosítás utalhat illetéktelen hozzáférésre, rosszindulatú tevékenységre. Ilyen esetekben javasolt a további vizsgálat. KÜRT Zrt. 8/9

2.2.1 NAPLÓ RÉSZLETEK Részlet az eseményekhez kapcsolódó naplóbejegyzésekből: Error Message %ASA-5-502101: New user added to local dbase: Uname: user Priv: privilege_level Encpass: string Error Message %ASA-5-502102: User deleted from local dbase: Uname: user Priv: privilege_level Encpass: string Error Message %ASA-5-502111: New group policy added: name: policy_name Type: policy_type Error Message %ASA-5-502112: Group policy deleted: name: policy_name Type: policy_type KÜRT Zrt. 9/9

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés