检测Windows环境中的内部威胁

在所有的网络威胁中，可能对组织造成最坏影响的威胁在于：内部人员攻击。内部人员攻击者极为难以察觉，尤其当攻击者是受信任和特权用户时更是如此，因此此类攻击恶名远扬。当攻击者是一个有特权访问系统（如Active Directory）的IT工作人员时，几乎无法检测得到。这些攻击者知道组织从内到外的所有安全策略，这为他们提供了摆脱安全控制和掩盖其入侵。

Active Directory

内部人员攻击的主要负担是识别攻击者的有害行为，因为这可能看起来就像是和他的角色和责任一致的正常活动。只有关于情况的情境信息才有助于发现此类攻击。为了更好地理解这一点，请考虑下面的情况; 当单独看待这种情况时，很可能会把这三起事件当做平常事件而忽略。但是，如果调查人员将帐户封锁事件与其他两个相关事件相关联，则攻击变得很明显了。

内部攻击

一、Windows Active Directory中的恶意系统管理员滥用其授权特权来重置重要帐户的密码，从而利用该账户访问公司机密数据。

二、盗用身份，伪装自己进行“合法”的活动，管理员访问超出其权限的数据。所有这一切都是在一夜之间通过远程访问发生的，因为这些都是帐户允许的活动，所以不会触发任何告警。

三、帐户的实际拥有者在不知道密码重置的情况下尝试登录时被锁定。假设她忘记了密码，她会寻求帮助台的帮助以获得新密码。

 身份盗用

ADAudit Plus提供了一个搜索实用工具，该实用工具为选定时间段内的任何用户帐户（包括Active Directory管理员）提供三种不同的审计概览（如下所示）的合并。概览中提供的每个细节都是一个链接，点击链接后会显示详细的报表以供进一步检查。同样，搜索也会为任何给定组或计算机对象提供合并审计摘要，并提供正确的信息组合，以便更好地进行事件调查

 ADAudit Plus

帐户的操作：这是指定帐户在其他AD对象上执行的所有配置更改的摘要。

帐户的登录历史记录：该摘要中列出了该帐户访问的每台计算机（交互式或远程访问），以及诸如登录时间和IP地址等详细信息。

对象历史记录：这提供了特定帐户的背景，总结了由谁对其或其属性进行了怎样的更改。例如，它会显示谁更改了帐户的权限或密码。

 账户登录历史记录

当您使用ADAudit Plus调查上述帐户锁定事件时，此搜索将并列显示帐户中的管理员操作、从陌生IP地址进行的帐户远程访问以及帐户锁定等信息。这提供了必要的上下文，使您能够在相关的安全事件之间建立关系并最终揭露内部人员的所做的事。

有时候，攻击者会花时间仔细地分阶段进行操作。以这种方式，即使他们的行为被发现，这些行为的零散性会诱使观察者将他们视为意外或平常事件。这也给攻击者提供了一些时间，在此期间，他们在Active Directory中违规行为的迹象将从日志文件中删除（或降级到归档）。由于ADAudit Plus在本地数据库中维护审计数据，因此调查人员可以调整其搜索实用工具，为疑似用户提供几个月甚至一年的审计跟踪。这提供了一个上下文丰富的审计跟踪，调查人员可以用它来了解那些用户操作的真正意义。