無効化されているユーザーが有効化された場合にアラート検知する方法
作成日:2022年11月2日 | 更新日:2023年11月27日
本ナレッジでは、無効化されているユーザーが有効された場合にアラートを検知する設定方法を紹介します。
確認ビルド: 7080
概要
無効化されているユーザーを削除することなく放置している状況は、セキュリティの観点から好ましくありません。なぜなら、既に退職した従業員や外部攻撃者が、組織にセキュリティ攻撃する際に該当ユーザーを利用し得るためです(Microsoftのドキュメント参照)。
しかし、組織によっては、ユーザー管理の運用上、無効化したユーザーを即座に削除しない場合もあります(無効化して30日後に削除するなど)。本ナレッジの手順を実施することで、無効化されているユーザーが有効化された場合に、アラートを検知できます。
ADAudit Plusがデフォルトで備えている「最近有効化されたユーザー」レポート(「レポート」タブ→「ユーザー管理」→「最近有効化されたユーザー」)を閲覧することでも、ユーザーが有効化された場合の詳細を確認できます。しかし、該当レポートは、新規ユーザーが作成された場合の詳細を含みます(新規で作成されるユーザーはデフォルトで有効化されるためです)。
手順
1. 「アラート」→画面右上の「アラートプロファイルを表示/変更」をクリック
2. デフォルトアラート「無効なユーザーが有効です」を検索
3. 該当アラートの編集(鉛筆アイコン)をクリック
4. 「高度な設定」内の「フィルター」にて、「追加」をクリック
5. 「アクティブなユーザー」タブをクリックし、「クエリー」に以下のLDAPクエリを入力後、「実行」をクリック
(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))
※現時点で無効化されているユーザーが抽出されます。
6. 「カスタムクエリの保存」をクリック後、「OK」をクリック
7. 「アラートアクション」を任意で設定
8. 「アップデート」をクリック
手順は以上です。