5137(S): se creó un objeto de servicio de directorio.

Subcategoría:  Auditar los cambios del servicio de directorio

Descripción del evento:

Este evento se genera cada vez que se crea un objeto de Active Directory.

Este evento solo genera si el objeto primario tiene una entrada determinada en su SACL: la acción "Crear", la auditoría de clases u objetos específicos. Un ejemplo es la auditoría de la acción "Crear objetos de equipo" para la unidad organizativa.

Nota  Para obtener recomendaciones, consulte Recomendaciones de supervisión de seguridad para este evento.

XML del evento:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>5137</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>14081</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-28T18:36:26.048167500Z" /> 
 <EventRecordID>410737</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="3156" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="OpCorrelationID">{4EAD68FF-7229-42A4-8C73-AAB57169858B}</Data> 
 <Data Name="AppCorrelationID">-</Data> 
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x32004</Data> 
 <Data Name="DSName">contoso.local</Data> 
 <Data Name="DSType">%%14676</Data> 
 <Data Name="ObjectDN">cn=Win2000,CN=Users,DC=contoso,DC=local</Data> 
 <Data Name="ObjectGUID">{41D5F7AF-64A2-4985-9A4B-70DAAFC7CCE6}</Data> 
 <Data Name="ObjectClass">computer</Data> 
 </EventData>
 </Event>

Roles de servidor necesarios: Controlador de dominio de Active Directory.

Versión mínima del sistema operativo: Windows Server 2008.

Versiones de eventos: 0.

Descripciones del campo:

Asunto:

• Id. de seguridad [Type = SID]: SID de la cuenta que solicitó la operación "create object". El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

Nota  Un identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar un elemento de confianza (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

• Nombre de cuenta [Type = UnicodeString]: nombre de la cuenta que solicitó la operación "create object".

• Dominio de cuenta [Tipo = UnicodeString]: dominio o nombre del equipo del sujeto. Los formatos varían e incluyen los siguientes:

  • Ejemplo de nombre NETBIOS de dominio: CONTOSO

  • Nombre de dominio completo en minúsculas: contoso.local

  • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

  • En el caso de algunas entidades de seguridad conocidas, como SERVICIO LOCAL o INICIO DE SESIÓN ANÓNIMO, el valor de este campo es "NT AUTHORITY".

  • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

• Id. de inicio de sesión [Tipo = HexInt64 ]: valor hexadecimal que puede ayudarle a relacionar este evento con eventos recientes que pueden contener el mismo Id. de inicio de sesión, por ejemplo, "4624: Una cuenta ha iniciado sesión correctamente".

Servicio de directorio:

• Name [Type = UnicodeString]: el nombre de un dominio de Active Directory, donde se crea el nuevo objeto.

• Tipo [Type = UnicodeString]: tiene el valor "Servicios de dominio de Active Directory" para este evento.

Objeto:

• DN [Type = UnicodeString]: nombre distintivo del objeto que se creó.

Nota   La API LDAP hace referencia a un objeto LDAP por su nombre distintivo (DN). Un DN es una secuencia de nombres distintivos relativos (RDN) conectados por comas.

Un RDN es un atributo con un valor asociado en el formulario attribute=value; . Estos son ejemplos de atributos RDN:

• DC : domainComponent

• CN : commonName

• OU - organizationalUnitName

• O : nombreDeOrganización

• GUID [Type = GUID]: cada objeto de Active Directory tiene un identificador único global (GUID), que es un valor de 128 bits que es único no solo en la empresa, sino también en todo el mundo. Los GUID se asignan a todos los objetos creados por Active Directory. El GUID de cada objeto se almacena en su propiedad Object-GUID (objectGUID).

  Active Directory usa GUID internamente para identificar objetos. Por ejemplo, el GUID es una de las propiedades de un objeto que se publica en el catálogo global. Si se busca el GUID de un objeto User en el catálogo global, se producirán resultados si el usuario tiene una cuenta en algún lugar de la empresa. De hecho, la búsqueda de cualquier objeto por Object-GUID podría ser la forma más confiable de encontrar el objeto que desea encontrar. Los valores de otras propiedades de objeto pueden cambiar, pero el GUID de objeto nunca cambia. Cuando se asigna un GUID a un objeto, mantiene ese valor de por vida.

  Visor de eventos resuelve automáticamente el campo GUID en un objeto real.

  Para traducir este GUID, use el procedimiento siguiente:

  • Realice la siguiente búsqueda LDAP mediante LDP.exe herramienta:

    • DN base: CN=Schema,CN=Configuration,DC=XXX,DC=XXX

    • Filtro: (&(objectClass=*)(objectGUID=GUID))

      • Realice las siguientes operaciones con el GUID antes de usarlo en una solicitud de búsqueda:

        • Tenemos este GUID para buscar: a6b34ab5-551b-4626-b8ee-2b36b3ee6672

        • Tome las tres primeras secciones a6b34ab5-551b-4626.

        • Para cada una de estas tres secciones, debe cambiar (invertir) el orden de los bytes, como este b54ab3a6-1b55-2646

        • Agregue las dos últimas secciones sin transformación: b54ab3a6-1b55-2646-b8ee-2b36b3ee6672

        • Eliminar: b54ab3a61b552646b8ee2b36b3ee6672

        • Dividir bytes con barras diagonales inversas: \b5\4a\b3\a6\1b\55\26\46\b8\ee\2b\36\b3\ee\66\72

      • Ejemplo de filtro: (&(objectClass=*)(objectGUID = \b5\4a\b3\a6\1b\55\26\46\b8\ee\2b\36\b3\ee\66\\72))

    • Ámbito: subárbol

    • Atributos: objectGUID

• Clase [Type = UnicodeString]: clase del objeto que se creó. Algunas de las clases de objetos comunes de Active Directory:

  • container: para contenedores.

  • user: para los usuarios.

  • group: para grupos.

  • domainDNS: para el objeto de dominio.

  • groupPolicyContainer: para objetos de directiva de grupo.

    Para todos los valores posibles de este campo, abra el complemento Esquema de Active Directory (vea cómo habilitar este complemento: https://technet.microsoft.com/library/Cc755885(v=WS.10).aspx) y vaya a Esquema de Active Directory\Clases. O bien, use este documento: https://msdn.microsoft.com/library/cc221630.aspx

Operación:

• Identificador de correlación [Type = GUID]: a menudo se ejecutan varias modificaciones como una operación a través de LDAP. Este valor permite correlacionar todos los eventos de modificación que componen la operación. Solo tiene que buscar otros eventos de la subcategoría actual con el mismo identificador de correlación, por ejemplo"5136: Se modificó un objeto de servicio de directorio". y "5139: Se ha movido un objeto de servicio de directorio".

Nota   GUID es un acrónimo de "Identificador único global". Es un número entero de 128 bits que se usa para identificar recursos, actividades o instancias.

• Id. de correlación de aplicación [Type = UnicodeString]: siempre tiene el valor "-". No está en uso.

Recomendaciones de supervisión de seguridad.

Para 5137(S): se creó un objeto de servicio de directorio.

Importante   Para este evento, consulte también Apéndice A: Recomendaciones de supervisión de seguridad para muchos eventos de auditoría.

• Si necesita supervisar la creación de objetos de Active Directory con clases específicas, supervise el campo Clase con un nombre de clase específico. Por ejemplo, se recomienda supervisar todas las nuevas creaciones de objetos de directiva de grupo: groupPolicyContainer (clase).

• Debe establecer listas de acceso de auditoría (SACL) correctas para clases específicas dentro del contenedor de Active Directory para obtener 5137. No hay ninguna razón para auditar todos los eventos de creación de todos los tipos de objetos de Active Directory; busque las ubicaciones más importantes (unidades organizativas, carpetas, etc.) y supervise la creación de clases específicas solo (usuario, equipo, grupo, etc.).