ログを活用した Active Directory に対する攻撃の検知と対策
https://www.jpcert.or.jp/research/AD_report_20170314.pdf
Appendix E) イベントログを記録するための監査ポリシーの設定
4 章で紹介している調査が必要なイベントログの例は以下のとおりである。
[表 9. 調査に必要なイベントログの例]
イベント ID 説明 4698 スケジュールされたタスクの作成 1102 イベントログの消去 4624 ログインの成功 4625 ログインの失敗 4768 Kerberos 認証 (TGT 要求) 4769 Kerberos 認証 (ST 要求) 4776 NTLM 認証 4672 特権の割り当て
付録 L: 監視するイベント
https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor
Get-EventLog
https://learn.microsoft.com/ja-jp/powershell/module/microsoft.powershell.management/get-eventlog?view=powershell-5.1
Get-Eventlogの使い方から覚えていくPowershellの基本的な使い方
https://qiita.com/Anubis_369/items/d0566143a1356a2f8ec5