Come potete filtrate l'Event Viewer di Windows?

Oltre al classico filtro dell'interfaccia grafica potete anche usare Query XPath.

Supponiamo che vogliate farvi inviare via mail un alert quando qualcuno cerca di autenticarsi nel vostro dominio Active Directory usando l'encryption type AES-256.

Per prima cosa dovete cercare l'Event ID corrispondente all'evento che volete monitorare. In questo esempio è l'Event ID 4768.

A questo punto create un Task Schedulato e come Trigger mettete un filtro sull'Event Viewer con la seguete Query XPath

La Query sovrastante cerca tutte le autenticazioni che utilizzano l'encryption AES-256 perchè il valore del TicketEncryptionType è 0x12

Come fate a saperlo?

C'è questa tabella, presa da Technet, che lo spiega

In questo modo il Task Scheduler vi invierà una mail (impostata nel Tab Action) ogni volta che il Domain Controller segnala nel Security Log un Evento 4768 con autenticazione AES-256.

Come dovete fare quindi se volete monitorare le autenticazioni DES?

A voi l'esercizio?

Ciao e Buon Lavoro!