Как обнаружить и противодействовать атакам на Active Directory с использованием события 5141?

Для обнаружения и противодействия атакам на Active Directory, в том числе с использованием события 5141 (A directory service object was deleted), можно применять следующие рекомендации:

• Включить расширенный аудит. codeby.net Нужно убедиться, что на контроллерах домена и критически важных серверах включён аудит ключевых событий (вход в систему, работа с Kerberos, изменение объектов, запуск процессов). codeby.net
• Искать аномалии, а не события. codeby.net Вместо того чтобы реагировать на каждое событие, стоит настроить правила для поиска аномального поведения: один пользователь запрашивает сотни билетов, вход администратора на рабочую станцию, сетевые подключения оттуда, где их не должно быть. codeby.net
• Использовать SIEM-системы. codeby.net Они позволяют централизованно собирать и анализировать логи. codeby.net Некоторые примеры таких систем: Splunk, Microsoft Sentinel, ELK Stack. codeby.net
• Использовать EDR. codeby.net Решения класса Endpoint Detection and Response (EDR) дают контекст. codeby.net Например, SIEM покажет, что с хоста X был выполнен Pass-the-Hash, а EDR покажет, какой именно процесс это сделал. codeby.net
• Ограничить права пользователей. vk.com Важно ограничить количество пользователей с административными привилегиями за пределами контролируемой зоны. vk.com
• Контролировать доступ к объектам типа «Компьютер» в AD. vk.com Нужно ограничить количество пользователей с разрешением на добавление объектов типа «Компьютер» в Active Directory. vk.com
• Поддерживать хорошую гигиену Active Directory. vk.com Регулярное удаление неиспользуемых объектов помогает поддерживать хорошую гигиену Active Directory и уменьшает поверхность атаки. vk.com

Для обнаружения и противодействия атакам на Active Directory рекомендуется обратиться к специалисту в области информационной безопасности.