none
Script ou outils pas lourd détéction changement sur L'AD RRS feed

  • שאלה

  • Salut tout le monde,

    avez vous un script qui détecte les changements du au création d'un objet ou ca modification dans l'ad ? ou un petit outil simple sans grande installation.

    Merci,

    יום שני 01 יוני 2020 18:51

כל התגובות

  • Bonjour,

    tout dépend de ce que tu veux faire. On peut s'appuyer sur la propriété WhenChanged de tout objet AD.

    Si on prend un cas général, tout objet de l'AD, cela pourrait donner :

    $Date = "" #Date de référence A RENSEIGNER

    Get-ADObject -Filter 'whenChanged -gt $Date' -Properties * -IncludeDeletedObjects | # -InclideDeletedObject permettra de voir égalemen tout objet supprimé mais encore en tombstone dans l'AD.

    Select-Object -Property Name, sAMAccountName, whenChanged, whenCreated |

    Format-Table -AutoSize # ou Export-Csv, Out-File, Html, xml, .json ou ce que tu veux comme sortie


    Si tu veux surveiller la création ou la supression de comptes, tu peux t'appuyer sur les event log securité. ex. : 

    Get-Eventlog -Log Security -After $Date -Newest 10| Where {$_.EventID -eq 4726}

    Event ID 4720 - A user account was created.

    Event ID 4722 - A user account was enabled.

    Event ID 4726 - A user account was deleted.

    Event ID 4738 - A user account was changed.

    Event ID 5141 A directory service object was deleted.

    Event ID 5136 A directory service object was modified.

    Event ID 5139 A directory service object was moved.

    Event ID 5141 A directory service object was deleted.

    Sinon LazyAdmin avait fait un script trrible pour surveiller certains groupes (critique sécurité par ex) : https://lazywinadmin.com/2013/10/powershell-monitor-and-report-active.html

    cordialement

    Olivier

    יום שלישי 02 יוני 2020 12:22
  • Bonjour,

    Pour tout ce qui est surveillance etc c'est pas un script le point de départ mais plutot la configuration de l'audit.

    Faut activer ce qui t'intéresse d'auditer pour ça et après tu peux en effet utiliser un script pour récupérer ce qui t'intéresse dans les journaux d'évent de façon rapide.

    Si par exemple tu cherches une suppresion avec l'event 5141 et que tu as le nom du compte tu peux faire ca rapidement.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    יום שלישי 02 יוני 2020 16:36
  • Salut Oliv,

    c'est exactement ce que j'ai mis dans mon scripte, j'ai avancé un peu,

    j'ai aussi étudié le script de LazyAdmin, c'est vrai qu'il est plus à jour mais y 'a des bonnes bases, j'ai lu beaucoup des scripts en ligne, d'ailleurs y'a t-il un moyen de te contacter ? je serai enchanté.

    matteu, mon objectif c'est de proposer un script graphique ou pourquoi pas un outil qui s'exécute seulement sur les postes clients, avec un packaging de tout les dlls comme le RSAT, j'interviens beaucoup chez les clients, et toucher au GPO ou activer l'audit fait peur à la plupart, et oui lool y a des gens je sais pas ce qu'ils font dans l'informatique mais bon, donc si je propose un outil qui fera cela juste à partir du poste client sans rien installer ni toucher à l'ad, je pense qu'il aura un très très  grand succès et pour le aire j'ai besoin d'aide de notre ami Oliv :)

    יום שלישי 02 יוני 2020 23:37
  • toujours possible. On peut envisager un échange vocal via l'outil de ton choix. Je ne souhaites cependant pas donner une adresse mail sur un forum public, sinon les bots de spam vont s'en donner à coeur joie.

    cordialement

    olivier

    יום רביעי 03 יוני 2020 05:33
  • Salut Olivier,

    Merci pour le retour, non je parlais pas d'email je sais que c'est très dangereux lol, à toi de me proposer un outil, mais comment te joindre as tu un pseudo ou je sais pas ? Sinon tu peux me trouver sur LinkedIn à partir de mon profil


    • נערך על-ידי M dakhama יום רביעי 03 יוני 2020 10:14
    יום רביעי 03 יוני 2020 10:13
  • J'ai bien compris le besoin et j'insiste.

    L'audit est indispensable.

    En fait, la génération des journaux d'évènements dépend de l'audit.

    Par défaut, certains évènements sont audités et d'autres non. Ce qui est audité va généré un évènement lorsque l'action auditée se produit et ce qui n'est pas audité ne sera pas renseigné dans le journal d'évènement.

    => Si ce que vous souhaitez récupérer comme information est audité par défaut et n'a pas été modifié par votre client -> votre outil fonctionnera.

    => Si ce que vous souhaitez récupérer comme information est audité par défaut et le client l'a modifié -> votre outil ne récupérera peut être pas toutes les informations dont vous avez besoin

    => Si vous mettez en place la GPO qui répond à ce que vous souhaitez auditer dans CHAQUE environnement -> vous êtes certain que votre outil fonctionnera.

    Il faut absolument comprendre que la génération des évènement dans le journal d'évènement Sécurité dépend de la configuration de l'audit.

    Il y a 5 ans j'avais fait un script qui récupérait tous les évènements que je souhaitais selon leur ID avec les informations que je voulais. Ex : Pour une suppression d'utilisateur je récupérais qui a fait l'action, quand, et qui a été supprimé.

    Ensuite il faut stocker cette information quelque part... base de donnée ? Fichier Excel ?

    Ou alors utiliser des outils dédiés à ça => netwrix est un des leader de ce domaine mais n'est pas gratuit.

    En espérant vous avoir aider :)


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    • נערך על-ידי matteu31400 יום רביעי 03 יוני 2020 10:31
    יום רביעי 03 יוני 2020 10:31
  • utilise ceci pour me contacter

    Your alias is valid until 2020-06-10 12:43:54 +0200 CEST

    hl0ye93crbnjha0@jetable.org

    redirecteur mail validité 1 semaine, donc le spam, ca ira.

    olivier

    יום רביעי 03 יוני 2020 10:45