Log e auditoria do PowerShell
O ADAudit Plus simplifica o processo de rastreamento da atividade do PowerShell, transformando os dados brutos e ruidosos do log do PowerShell em relatórios e alertas em tempo real. Isso permite que você fique por dentro das atividades do PowerShell com facilidade.
Destaques da auditoria do PowerShell com ADAudit Plus
Monitoramento de código
Audite os comandos do PowerShell e o conteúdo dos scripts executados em seu ambiente do Windows Server.
Rastreamento de processos
Saiba quem executou um processo do PowerShell, quando e de onde em seu ambiente.
Relatórios de conformidade prontos para auditoria
Automatize a geração e entrega de relatórios de auditoria do PowerShell para atender às necessidades de conformidade.
Alertas de segurança instantâneos
Seja notificado em tempo real por e-mail e SMS sobre atividades críticas, como a execução de um determinado script.
Log e auditoria do PowerShell com ferramentas nativas
O Windows PowerShell é amplamente usado para gerenciar recursos críticos do Windows Server, como usuários, grupos, GPOs e arquivos. Portanto, rastrear a atividade do PowerShell é imperativo. A atividade que ocorre em seu ambiente pode ser rastreada seguindo as três etapas descritas abaixo.
-
Etapa 1: habilitar o log da atividade do PowerShell
O PowerShell dá suporte a três tipos de log: log de módulo, log de bloco de script e transcrição.
- O registro de módulo permite especificar quais você deseja registrar.
- O script de bloqueio de logging registra o conteúdo completo do código; e também fornece informações sobre o usuário que executou os comandos do PowerShell.
- A transcrição registra os comandos que são executados junto com seus resultados; no entanto, ele não registra o conteúdo dos scripts executados ou a saída gravada em outros destinos, como um sistema de arquivos.
- Para habilitar o log do módulo por meio da Diretiva de Grupo, navegue até Configuração do Computador → Diretivas → Modelos Administrativos → Componentes do Windows → Windows PowerShell → Ativar Log do Módulo. Para registrar todos os módulos, navegue até Ativar registro de módulo → Opções → Mostrar e entrar* na janela Nomes de Módulo.
- Para habilitar o script de bloqueio de logging por meio da Diretiva de Grupo, navegue até Configuração do Computador → Diretivas → Modelos Administrativos → Componentes do Windows → Windows PowerShell → Ativar o script de bloqueio de logging do PowerShell..
- Para habilitar a transcrição via Política de Grupo, navegue até Configuração do Computador → Políticas → Modelos Administrativos → Componentes do Windows → Windows PowerShell → Ativar Transcrição do PowerShell. Para registrar um carimbo de data/hora para cada comando executado, navegue até Ativar transcrição do PowerShell e marque a caixa Incluir cabeçalhos de invocação.
Dica: é recomendável que, no mínimo, o log de bloco de script seja ativado para rastrear o código executado no PowerShell.
-
Etapa 2: configurar o tamanho adequado do log do PowerShell
Para configurar o tamanho do log do PowerShell por meio da Diretiva de Grupo, navegue até Configuração do Computador → Preferências → Configurações do Windows. Clique com o botão direito do mouse em Registro e selecione Novo → Item do Registro. Na janela Novas propriedades do registro :
- No campo Ação, selecione Atualizar no menu suspenso.
- No campo Hive, selecione HKEY_LOCAL_MACHINE no menu suspenso.
- No campo Caminho da chave, insira SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-PowerShell\Operational.
- No campo Nome do valor, desmarque a caixa ao lado de Padrão e digite MaxSize.
- No campo Tipo de valor, selecione REG_DWORD no menu suspenso.
- No campo Dados do valor, digite um valor adequado.
- No campo Base, selecione Decimal.
- Clique em Aplicar.
Dica: é recomendável que, no mínimo, o log de bloco de script seja ativado para rastrear o código executado no PowerShell.
-
Etapa 3: acompanhar continuamente os eventos do PowerShell
Os logs do PowerShell podem ser encontrados no Visualizador de eventos em Logs de aplicativos e serviços → Microsoft → Windows → PowerShell → Operacional.
- Os eventos de log do módulo são gravados na ID de evento 4103.
- Os eventos de script de bloqueio de logging são gravados na ID de evento 4104.
- Os logs de transcrição não são gravados em nenhum ID de evento; em vez disso, eles são armazenados como arquivos de texto simples cuja localização padrão é C:\Users\%USERNAME%\Documents.
Dica: considerando o grande volume de eventos do PowerShell gerados, acompanharr a sua atividade usando ferramentas nativas pode ser um processo trabalhoso. Uma solução de terceiros como o ADAudit Plus pode ajudá-lo a superar esse problema.
Fique por dentro das atividades do PowerShell com apenas alguns cliques
- 1
Seja notificado em tempo real por e-mail e SMS sobre atividades críticas, como a execução de um determinado script.
2Automatize ações de resposta, como desligar um dispositivo
Configurar alertas de segurança instantâneos
Seja notificado em tempo real por e-mail e SMS sobre atividades críticas, como a execução de um determinado script.
Automatize ações de resposta, como desligar um dispositivo - 1
Mantenha uma trilha de auditoria abrangente de quem fez o quê, quando e de onde.
2Automatize a geração e a entrega de relatórios para atender às necessidades de conformidade.
Relatórios de conformidade prontos para auditoria
Automatize a geração e a entrega de relatórios para atender às necessidades de conformidade.
Automatize a geração e a entrega de relatórios para atender às necessidades de conformidade.
