Auditoría de Powershell

 

Registro y auditoría de PowerShell

ADAudit Plus simplifica el seguimiento de la actividad de PowerShell transformando sus datos de logs , sin procesar , en informes y alertas en tiempo real. Esto le permite estar al tanto de las acciones de PowerShell con facilidad.

Funciones destacadas de la auditoría de PowerShell con ADAudit Plus

Monitoreo de código

Audite los comandos de PowerShell y el contenido de los scripts que se ejecutan en su entorno de Windows Server.

Seguimiento de procesos

Conozca quién ejecutó un proceso de PowerShell, cuándo y desde qué lugar de su entorno.

Informes de cumplimiento listos para la auditoría

Automatice la generación y entrega de informes de auditoría de PowerShell para satisfacer las necesidades de cumplimiento.

Alertas de seguridad instantáneas

Reciba notificaciones en tiempo real por correo electrónico y SMS sobre actividades críticas, como la ejecución de un determinado script.

Registro y auditoría de PowerShell con herramientas nativas

Windows PowerShell se utiliza ampliamente para gestionar recursos críticos de Windows Server, como usuarios, grupos, GPO y archivos. Por lo tanto, es imprescindible controlar sus acciones. Se puede realizar un seguimiento a la actividad que se produce en el entorno de PowerShell siguiendo los tres pasos que se indican a continuación.

  •  
    Paso 1: Habilitar el registro de la actividad de PowerShell

    PowerShell admite tres tipos de registro: el registro de módulos, el registro de bloques de scripts y la transcripción.

    • El registro de módulos le permite especificar aquellos que desea registrar.
    • El registro de bloques de scripts graba el contenido completo del código; también proporciona información sobre el usuario que ejecutó los comandos de PowerShell.
    • La transcripción registra los comandos que se ejecutan junto con sus resultados; sin embargo, no graba el contenido de los scripts ejecutados ni la salida escrita en otros destinos, como un sistema de archivos.
    • Para habilitar el registro de módulos a través de la Directiva de Grupo, vaya a Configuración del Equipo → Directivas → Plantillas Administrativas → Componentes de Windows → Windows PowerShell → Activar el Registro de Módulos. Para registrar todos los módulos, vaya a Activar Registro de Módulos → Opciones → Mostrar e ingrese * en la ventana Nombres de los módulos.
    • Para habilitar el registro de bloques de scripts a través de la Directiva de Grupo, vaya a Configuración del equipo → Directivas → Plantillas Administrativas → Componentes de Windows → Windows PowerShell → Activar el Registro de Bloques de Scripts de PowerShell.
    • Para habilitar la transcripción a través de la Directiva de Grupo, vaya a Configuración del Equipo → Directivas → Plantillas Administrativas → Componentes de Windows → Windows PowerShell → Activar la Transcripción de PowerShell. . Para registrar una marca de tiempo para cada comando ejecutado, vaya a Activar la Transcripción de PowerShell marque la casilla Incluir cabeceras de invocación.

    Consejo: Se recomienda que, como mínimo, se habilite el registro de bloques de scripts para rastrear el código ejecutado en PowerShell.

  •  
    Paso 2: Configurar el tamaño adecuado del log de PowerShell

    Para configurar el tamaño del log de PowerShell a través de la Directiva de Grupo, vaya a Configuración del equipo → Preferencias → Configuración de Windows. Haga clic derecho en Registro y a continuación, seleccione Nuevo → Elemento de Registro. En la ventana Nuevas propiedades del registro:

    • En el campo Acción, seleccione Actualizar en el menú desplegable.
    • En el campo Hive, seleccione HKEY_LOCAL_MACHINE en el menú desplegable.
    • En el campo Ruta de la clave, ingrese SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-PowerShell\Operational.
    • En el campo Nombre del valor, desmarque la casilla junto a Predeterminado (Default) y escriba MaxSize.
    • En el campo Tipo de valor, seleccione REG_DWORD en el menú desplegable.
    • En el campo Datos del valor, ingrese un valor adecuado.
    • En el campo Base, seleccione Decimal.
    • Haga clic en Aplicar.

    Consejo: El tamaño del log de eventos de PowerShell debe ser de al menos 150 MB para garantizar que los datos se conserven durante un período de tiempo razonable.

  •  
    Paso 3: Seguimiento continuo de los eventos de PowerShell

    Los logs de PowerShell se pueden encontrar en el Visor de Eventos en
    Logs de Aplicaciones y Servicios → Microsoft → Windows → PowerShell → Operativo.

    • Los eventos de registro de módulos se escriben en el ID de evento 4103.
    • Los eventos de registro de bloques de script se escriben en el ID de evento 4104.
    • Los registros de transcripción no se escriben en ningún ID de evento; en su lugar, se almacenan como archivos de texto plano cuya ubicación predeterminada es C:\Usuarios\%NOMBREUSUARIO%\Documentos.

    Consejo: Teniendo en cuenta el enorme volumen de eventos de PowerShell que se generan, hacer un seguimiento de la actividad en ellos utilizando herramientas nativas puede ser un proceso muy arduo. Una solución de terceros como ADAudit Plus puede ayudarle a superar este problema.

Manténgase al tanto de la actividad de PowerShell con sólo unos pocos clics

  • 1
     

    Mantenga una pista de auditoría completa de quién hizo qué, cuándo y desde dónde.

    2
     

    Automatice la generación y entrega de informes de para satisfacer las necesidades de cumplimiento.

    Configure alertas de seguridad instantáneas con ManageEngine ADAudit Plus

    Configurar alertas de seguridad instantáneas
    Reciba notificaciones en tiempo real por correo electrónico y SMS sobre actividades críticas, como la ejecución de un determinado script.
    Automatice las acciones de respuesta, como apagar un dispositivo

  • 1
     

    Mantenga una pista de auditoría completa de quién hizo qué, cuándo y desde dónde.

    2
     

    Automatice la generación y entrega de informes de para satisfacer las necesidades de cumplimiento.

    Informes de cumplimiento listos para la auditoría con ManageEngine ADAudit Plus

    Informes de cumplimiento listos para auditoría
    Automatice la generación y entrega de informes para satisfacer las necesidades de cumplimiento.
    Automatice la generación y entrega de informes para satisfacer las necesidades de cumplimiento.

Obtenga una visibilidad completa de la actividad de PowerShell mediante ADAudit Plus.

Obtener una prueba gratuita

Mantenga su Active Directory, servidores de archivos, servidores Windows y estaciones de trabajo seguros y conformes con ADAudit Plus

Auditoría de los cambios de AD

Reciba notificaciones en tiempo real sobre los cambios que se produzcan tanto on-premises como en Azure Active Directory.

 
Track user logons

Obtenga una visibilidad completa de la actividad de inicio de sesión de los usuarios, desde los fallos hasta el historial de inicio de sesión.

 
Resolución de los bloqueos de cuenta

Detecte los bloqueos al instante y conozca su causa raíz rastreando el origen de los fallos de autenticación.

 
Monitoreo de usuarios privilegiados

Obtenga una pista de auditoría consolidada de las actividades del administrador y de otros usuarios privilegiados.

 
Control del acceso a los archivos

Audite el acceso a los archivos y carpetas de Windows, NetApp, EMC y Synology.

 
Auditoría de los servidores miembro de Windows

Monitoree las actividades locales de inicio/cierre de sesión, los cambios en los usuarios locales, grupos, derechos de usuario, y mucho más.

 
Detección de amenazas internas

Aproveche el análisis del comportamiento de los usuarios (UBA) para detectar anomalías basadas en patrones de actividad.

 
Demuestre el cumplimiento

Automatice la generación de informes detallados y demuestre el cumplimiento de SOX, GDPR y otros mandatos.

 
Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active Directory Workstation Servidores de archivos Servidores Windows  Cumplimiento Productos relacionados