Lo que nos recomienda MS para configurar Auditorías
- Auditar los eventos correctos en la categoría de acceso del servicio de directorio.
Así podemos comprobar quien accedió a un objeto en AD y cuales operaciones realizó.
- Auditar los eventos correctos en la categoría de acceso a objetos.
Nos aseguramos que los usuarios no están haciendo un uso incorrecto de su acceso a objetos protegidos.
- Auditar eventos correctos y erróneos en la categoría del Sistema.
Auditando ambos podremos detectar una actividad inusual que puede indicar la presencia de un intruso intentando conseguir acceso al equipo o la red.
- Auditar eventos correctos y erróneos en la categoría cambio de directivas en los controladores de dominio.
Si se observa un evento iniciado en la categoría de cambio de directiva significa que posiblemente alguien ha cambiado la autoridad de la seguridad local (LSA) de la configuración de directiva de seguridad. Si utilizamos GP para editar la configuración de directivas de auditoría no necesitamos auditar eventos en esta categoría en servidores miembros.
- Auditar eventos correctos y erróneos en la categoría de administración de cuentas.
Auditando estos eventos podremos verificar los cambios realizados a las propiedades de cuentas y grupos. Los eventos erróneos nos muestran si usuarios no autorizados o intrusos están intentando cambiar las propiedades de cuenta o grupo.
- Auditar los eventos correctos en la categoría de inicio de sesión.
Mediante los eventos correctos tenemos un registro de cuando inician o cierran sesión los usuarios desde un equipo. Si una persona no autorizada roba las credenciales de un usuario e inicia sesión, podremos sacar conclusiones del momento en que ocurrió.
- Auditar los eventos correctos de en la categoría de inicio de sesión de cuenta en controladores de dominio.
Aquí podremos ver cuando los usuarios inician o cierran sesión desde el dominio. No se necesita auditar esta categoría en los servidores miembros.
- Establecer un tamaño apropiado para el registro de seguridad.
Es importante configurar el tamaño del registro de seguridad, podemos basarnos en el número de eventos que nuestra configuración de directiva de auditoría genera.