5136(S): se ha modificado un objeto de servicio de directorio.

Event 5136 illustration

Subcategoría:   Auditar cambios en el servicio de directorio

Descripción del evento:

Este evento genera cada vez que se modifica un objeto de Active Directory.

Para generar este evento, el objeto modificado debe tener una entrada adecuada en SACL:la auditoría de la acción "Escritura" para atributos específicos.

Para una operación de cambio, normalmente verá dos eventos 5136 para una acción, con campos Operation\Type diferentes: "Value Deleted" y luego "Value Added". El evento "Valor eliminado" normalmente contiene el valor anterior y el evento "Valor agregado" contiene un nuevo valor.

Nota  Para obtener recomendaciones, consulte Recomendaciones de supervisión de seguridad para este evento.


XML del evento:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>5136</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>14081</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-28T17:36:04.129472600Z" /> 
 <EventRecordID>410204</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="4020" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="OpCorrelationID">{02647639-8626-43CE-AFE6-7AA1AD657739}</Data> 
 <Data Name="AppCorrelationID">-</Data> 
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x32004</Data> 
 <Data Name="DSName">contoso.local</Data> 
 <Data Name="DSType">%%14676</Data> 
 <Data Name="ObjectDN">CN=Sergey,CN=Builtin,DC=contoso,DC=local</Data> 
 <Data Name="ObjectGUID">{4FE80A66-5F93-4F73-B215-68678058E613}</Data> 
 <Data Name="ObjectClass">user</Data> 
 <Data Name="AttributeLDAPDisplayName">userAccountControl</Data> 
 <Data Name="AttributeSyntaxOID">2.5.5.9</Data> 
 <Data Name="AttributeValue">512</Data> 
 <Data Name="OperationType">%%14675</Data> 
 </EventData>
 </Event>

Roles de servidor necesarios: Controlador de dominio de Active Directory.

Versión mínima del sistema operativo: Windows Server 2008.

Versiones de eventos: 0.

Descripciones del campo:

Asunto:

  • Id. de seguridad [Type = SID]: SID de la cuenta que solicitó la operación "modificar objeto". El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

Nota  Un identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar un elemento de confianza (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

  • Nombre de cuenta [Type = UnicodeString]: el nombre de la cuenta que solicitó la operación "modificar objeto".

  • Dominio de cuenta [Tipo = UnicodeString]: dominio o nombre del equipo del sujeto. Los formatos pueden variar e incluyen lo siguiente:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

    • En el caso de algunas entidades de seguridad conocidas, como SERVICIO LOCAL o INICIO DE SESIÓN ANÓNIMO, el valor de este campo es "NT AUTHORITY".

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

  • Id. de inicio de sesión [Tipo = HexInt64 ]: valor hexadecimal que puede ayudarle a relacionar este evento con eventos recientes que pueden contener el mismo Id. de inicio de sesión, por ejemplo, "4624: Una cuenta ha iniciado sesión correctamente".

Servicio de directorio:

  • Nombre [Type = UnicodeString]: el nombre del dominio de Active Directory donde se encuentra el objeto modificado.

  • Tipo [Type = UnicodeString]: tiene el valor " Servicios de dominio deActive Directory" para este evento.

Objeto:

  • DN [Type = UnicodeString]: nombre distintivo del objeto modificado.

****   Nota   La API ldap hace referencia a un objeto LDAP por su nombre distintivo (DN). Un DN es una secuencia de nombres distintivos relativos (RDN) conectados por comas.

Un RDN es un atributo con un valor asociado en el formulario attribute=value; . Estos son ejemplos de atributos RDN:

• DC- domainComponent

• CN- commonName

• OU- organizationalUnitName

• O- organizationName

  • GUID [Type = GUID]: cada objeto de Active Directory tiene un identificador único global (GUID), que es un valor de 128 bits que es único no solo en la empresa, sino también en todo el mundo. Los GUID se asignan a todos los objetos creados por Active Directory. El GUID de cada objeto se almacena en su propiedad Object-GUID (objectGUID).

    Active Directory usa GUID internamente para identificar objetos. Por ejemplo, el GUID es una de las propiedades de un objeto que se publica en el catálogo global. La búsqueda en el catálogo global del GUID de un objeto User dará resultados si el usuario tiene una cuenta en algún lugar de la empresa. De hecho, la búsqueda de cualquier objeto por Object-GUID puede ser la forma más confiable de encontrar el objeto que desea encontrar. Los valores de otras propiedades de objeto pueden cambiar, pero el GUID de objeto nunca cambia. Cuando se asigna un GUID a un objeto, mantiene ese valor de por vida.

    El Visor de eventos resuelve automáticamente el campo GUID en objeto real.

    Para traducir este GUID, use el siguiente procedimiento:

    • Realice la siguiente búsqueda LDAP con LDP.exe de búsqueda:

      • Base DN: CN=Schema,CN=Configuration,DC=XXX,DC=XXX

      • Filtro: (&(objectClass=*)(objectGUID=GUID))

        • Realice las siguientes operaciones con el GUID antes de usarlo en una solicitud de búsqueda:

          • Tenemos este GUID para buscar: a6b34ab5-551b-4626-b8ee-2b36b3ee6672

          • Tome las primeras 3 secciones a6b34ab5-551b-4626.

          • Para cada una de estas 3 secciones, debe cambiar (invertir) el orden de bytes, como este b54ab3a6-1b55-2646

          • Agregue las últimas 2 secciones sin transformación: b54ab3a6-1b55-2646-b8ee-2b36b3ee6672

          • Eliminar - : b54ab3a61b552646b8ee2b36b3ee6672

          • Dividir bytes con barras diagonales inversas: \b5\4a\b3\a6\1b\55\26\46\b8\ee\2b\36\b3\ee\66\72

        • Ejemplo de filtro: (&(objectClass=*)(objectGUID = \b5\4a\b3\a6\1b\55\26\46\b8\ee\2b\36\b3\ee\66\72))

      • Ámbito: Subárbol

      • Atributos: objectGUID

  • Clase [Type = UnicodeString]: clase del objeto modificado. Algunas de las clases de objetos comunes de Active Directory:

Atributo:

  • Nombre para mostrar de LDAP [Type = UnicodeString]: el atributo de objeto que se modificó.

****   Nota   Ldap Display Name es el nombre usado por los clientes LDAP, como el proveedor LDAP ADSI, para leer y escribir el atributo mediante el protocolo LDAP.

  • Sintaxis (OID) [Type = UnicodeString]: la sintaxis de un atributo define la representación de almacenamiento, el orden de bytes y las reglas coincidentes para las comparaciones de tipos de propiedades. También se define si el valor del atributo debe ser una cadena, un número o una unidad de tiempo. Cada atributo de cada objeto está asociado con exactamente una sintaxis. Las sintaxis no se representan como objetos en el esquema, pero están programadas para que Active Directory las entienda. Las sintaxis permitidos en Active Directory están predefinidas.
OID Nombre de sintaxis Descripción
2.5.5.0 Undefined No es una sintaxis legal.
2.5.5.1 Object(DN-DN) Nombre completo de un objeto en el directorio.
2.5.5.2 String(Object-Identifier) Identificador de objeto.
2.5.5.3 Case-Sensitive string Cadena general.
2.5.5.4 CaseIgnoreString(Teletex) Diferencia mayúsculas y minúsculas.
2.5.5.5 String(Printable), String(IA5) Teletex. No distingue mayúsculas ni minúsculas.
2.5.5.6 String(Numeric) Cadena imprimible o IA5-String.
2.5.5.7 Object(DN-Binary) Ambos conjuntos de caracteres distinguen mayúsculas de minúsculas.
2.5.5.8 Booleano Una secuencia de dígitos.
2.5.5.9 Integer, Enumeración Un nombre distintivo más un objeto binario grande.
2.5.5.10 String(Octet) Valores TRUE o FALSE.
2.5.5.11 String(UTC-Time), String(Generalized-Time) Enumeración o número de 32 bits.
2.5.5.12 String(Unicode) Una cadena de bytes.
2.5.5.13 Object(Presentation-Address) Hora UTC o Tiempo generalizado.
2.5.5.14 Object(DN-String) Cadena Unicode.
2.5.5.15 String(NT-Sec-Desc) Dirección de presentación.
2.5.5.16 LargeInteger Un DN-String más una cadena Unicode.
2.5.5.17 String(Sid) Descriptor de seguridad ® Windows NT® Microsoft.

Tabla 10. ID de sintaxis de atributo LDAP.

  • Valor [Type = UnicodeString]: el valor que se agregó o eliminó, según el campo Operation\Type.

Operación:

  • Tipo [Type = UnicodeString]: tipo de operación realizada.

    • Valor agregado: nuevo valor agregado.

    • Valor eliminado: valor eliminado (normalmente "Valor eliminado" forma parte de la operación de cambio).

  • Identificador de correlación [Type = GUID]: a menudo, varias modificaciones se ejecutan como una operación a través de LDAP. Este valor permite correlacionar todos los eventos de modificación que componen la operación. Solo tiene que buscar otros eventos de la subcategoría actual con el mismo identificador de correlación , por ejemplo "5137: Se creó un objeto de servicio de directorio". y "5139: se movió un objeto de servicio de directorio".

****   Nota   GUID es un acrónimo de "Identificador único global". Es un número entero de 128 bits que se usa para identificar recursos, actividades o instancias.

  • Id. de correlación de la aplicación [Type = UnicodeString]: siempre tiene " - " valor. No está en uso.

Recomendaciones de supervisión de seguridad.

Para 5136(S): se modificó un objeto de servicio de directorio.

****   Importante   Para este evento, vea también Apéndice A: Recomendaciones de supervisión de seguridad para muchos eventos de auditoría.

  • Si necesita supervisar modificaciones en objetos específicos de Active Directory, supervise el campo DN con un nombre de objeto específico. Por ejemplo, se recomienda supervisar todas las modificaciones del objeto "CN=AdminSDHolder,CN=System,DC=domain,DC=com".

  • Si necesita supervisar las modificaciones en clases específicas de Active Directory, supervise el campo Clase con un nombre de clase específico. Por ejemplo, se recomienda supervisar todas las modificaciones de la clase domainDNS.

  • Si necesita supervisar modificaciones en atributos específicos de Active Directory, supervise el campo Nombre para mostrar LDAP con un nombre de atributo específico.

  • Es mejor supervisar los eventos Operation\Type = Value Added, ya que verá el nuevo valor de atributo. Al mismo tiempo, puede correlacionarse con el evento Operation\Type = Value Deleted anterior con el mismo identificador de correlación para ver el valor anterior.