ADAudit Plus ナレッジベース

無効化されているユーザーが有効化された場合にアラート検知する方法


本ナレッジでは、無効化されているユーザーが有効された場合にアラートを検知する設定方法を紹介します。

確認ビルド: 7080

 

概要

無効化されているユーザーを削除することなく放置している状況は、セキュリティの観点から好ましくありません。なぜなら、既に退職した従業員や外部攻撃者が、組織にセキュリティ攻撃する際に該当ユーザーを利用し得るためです(Microsoftのドキュメント参照)。

しかし、組織によっては、ユーザー管理の運用上、無効化したユーザーを即座に削除しない場合もあります(無効化して30日後に削除するなど)。本ナレッジの手順を実施することで、無効化されているユーザーが有効化された場合に、アラートを検知できます。

ADAudit Plusがデフォルトで備えている「最近有効化されたユーザー」レポート(「レポート」タブ→「ユーザー管理」→「最近有効化されたユーザー」)を閲覧することでも、ユーザーが有効化された場合の詳細を確認できます。しかし、該当レポートは、新規ユーザーが作成された場合の詳細を含みます(新規で作成されるユーザーはデフォルトで有効化されるためです)。

 

手順

1. 「アラート」→画面右上の「アラートプロファイルを表示/変更」をクリック

2. デフォルトアラート「無効なユーザーが有効です」を検索

3. 該当アラートの編集(鉛筆アイコン)をクリック

4. 「高度な設定」内の「フィルター」にて、「追加」をクリック

5. 「アクティブなユーザー」タブをクリックし、「クエリー」に以下のLDAPクエリを入力後、「実行」をクリック

(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))

※現時点で無効化されているユーザーが抽出されます。

6. 「カスタムクエリの保存」をクリック後、「OK」をクリック

「実行」をクリック後に表示されるユーザーは選択しないでください。ユーザーを選択すると、本アラート設定後にActive Directoryに追加されたユーザーは本アラートの監査対象から除外されます。

7. 「アラートアクション」を任意で設定

8. 「アップデート」をクリック

 

手順は以上です。