無効化されているユーザーが有効化された場合にアラート検知する方法
作成日:2022年11月2日 | 更新日:2022年11月4日
本ナレッジでは、無効化されているユーザーが有効された場合にアラートを検知する設定方法を紹介します。
確認ビルド: 7080
概要
無効化されているユーザーを削除することなく放置している状況は、セキュリティの観点から好ましくありません。なぜなら、既に退職した従業員や外部攻撃者が、組織にセキュリティ攻撃する際に該当ユーザーを利用し得るためです(Microsoftのドキュメント参照)。
しかし、組織によっては、ユーザー管理の運用上、無効化したユーザーを即座に削除しない場合もあります(無効化して30日後に削除するなど)。本ナレッジの手順を実施することで、無効化されているユーザーが有効化された場合に、アラートを検知できます。
ADAudit Plusがデフォルトで備えている「最近有効化されたユーザー」レポート(「レポート」タブ→「ユーザー管理」→「最近有効化されたユーザー」)を閲覧することでも、ユーザーが有効化された場合の詳細を確認できます。しかし、該当レポートは、新規ユーザーが作成された場合の詳細を含みます(新規で作成されるユーザーはデフォルトで有効化されるためです)。
手順
1. [アラート]→画面右上の[アラートプロファイルを表示/変更]をクリック
2. デフォルトアラート「無効なユーザーが有効です」を検索
3. 該当アラートの編集(鉛筆アイコン)をクリック
4. [高度な設定]内の[フィルター]にて、[追加]をクリック
5. [アクティブなユーザー]タブをクリックし、[クエリー]に以下のLDAPクエリを入力後、[実行]をクリック
(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))
※現時点で無効化されているユーザーが抽出されます。
7. [カスタムクエリの保存]をクリック後、[OK]をクリック
8. [アラートアクション]を任意で設定
9. [アップデート]をクリック
手順は以上です。
アラート表示例