ADAudit Plus ナレッジベース

無効化されているユーザーが有効化された場合にアラート検知する方法


本ナレッジでは、無効化されているユーザーが有効された場合にアラートを検知する設定方法を紹介します。

確認ビルド: 7080

 

概要

無効化されているユーザーを削除することなく放置している状況は、セキュリティの観点から好ましくありません。なぜなら、既に退職した従業員や外部攻撃者が、組織にセキュリティ攻撃する際に該当ユーザーを利用し得るためです(Microsoftのドキュメント参照)。

しかし、組織によっては、ユーザー管理の運用上、無効化したユーザーを即座に削除しない場合もあります(無効化して30日後に削除するなど)。本ナレッジの手順を実施することで、無効化されているユーザーが有効化された場合に、アラートを検知できます。

ADAudit Plusがデフォルトで備えている「最近有効化されたユーザー」レポート(「レポート」タブ→「ユーザー管理」→「最近有効化されたユーザー」)を閲覧することでも、ユーザーが有効化された場合の詳細を確認できます。しかし、該当レポートは、新規ユーザーが作成された場合の詳細を含みます(新規で作成されるユーザーはデフォルトで有効化されるためです)。

 

手順

1. [アラート]→画面右上の[アラートプロファイルを表示/変更]をクリック

2. デフォルトアラート「無効なユーザーが有効です」を検索

3. 該当アラートの編集(鉛筆アイコン)をクリック

 

4. [高度な設定]内の[フィルター]にて、[追加]をクリック

 

5. [アクティブなユーザー]タブをクリックし、[クエリー]に以下のLDAPクエリを入力後、[実行]をクリック

(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))

 

※現時点で無効化されているユーザーが抽出されます。

 

7. [カスタムクエリの保存]をクリック後、[OK]をクリック

[実行]をクリック後に表示されるユーザーは選択しないでください。ユーザーを選択すると、本アラート設定後にActive Directoryに追加されたユーザーは本アラートの監査対象から除外されます。

8. [アラートアクション]を任意で設定

9. [アップデート]をクリック

 

手順は以上です。

アラート表示例