Zum Hauptinhalt springen

Benutzer-Monitor

Alert when a device's local user accounts drift from your expected list. Catch rogue or unauthorized accounts the moment they appear, or get notified when a required service account goes missing.

Einführung

Alarm auslösen, wenn die lokalen Benutzerkonten auf einem Gerät von der erwarteten Liste abweichen. Der Benutzer-Monitor vergleicht die auf jedem überwachten Gerät vorhandenen Konten mit Ihrer Liste bekannter Benutzer und löst einen Alarm aus, wenn etwas nicht übereinstimmt: ein nicht autorisiertes Konto oder ein Konto, das vorhanden sein sollte, aber fehlt.

Dies ist eine der schnellsten Methoden, um nicht autorisierte Administratorkonten zu erkennen – eine häufige Persistenztechnik nach einer Kompromittierung – und um festzustellen, wenn ein erforderliches Dienstkonto gelöscht wurde.

So funktioniert der Benutzer-Monitor

Der Agent inventarisiert die lokalen Benutzerkonten auf überwachten Geräten und vergleicht sie mit Ihrer Bekannte Benutzer Liste. Die Prüfung wird etwa alle 60 Sekunden ausgeführt, und das Intervall ist nicht konfigurierbar.

Der Alarm wird bei der ersten Prüfung ausgelöst, die eine Abweichung erkennt, sodass die Erkennungslatenz bis zu etwa einer Minute beträgt. Die Bedingung wird bei der nächsten Prüfung aufgehoben, nachdem die Abweichung verschwunden ist, abhängig von der Einstellung zur automatischen Auflösung.

Der Alarmtext nennt die betroffenen Konten: „Unknown users detected: guest, hacker" oder „Missing users detected: svc_backup". Bei aktiviertem Administratorbereich lautet die Meldung stattdessen „admin users".

Was als Benutzer gilt

Der Monitor vergleicht reguläre lokale Konten, nicht alle dem Betriebssystem bekannten Konten. Der Agent filtert System- und Dienstkonten automatisch heraus, sodass Sie diese nicht zu Ihrer Liste bekannter Benutzer hinzufügen müssen.

🖥️ PLATTFORMHINWEIS:

  • Windows: Nur lokale Konten. Maschinenkonten (die auf $ enden) und integrierte Systemkonten (WDAGUtilityAccount, DefaultAccount, ASPNET, Network/Local Service, krbtgt, IUSR_/IWAM_) werden ausgeschlossen. Domänenbenutzer werden nicht aufgelistet, auch nicht auf domänenverbundenen Computern.

  • macOS: Dienstkonten, die mit _ beginnen, sowie Konten mit UIDs unter 501 werden ausgeschlossen. root ist immer enthalten.

  • Linux: Konten außerhalb des in /etc/login.defs definierten Bereichs von UID_MIN bis UID_MAX werden ausgeschlossen. root ist immer enthalten.

⚠️ WARNUNG: Der Agent listet keine Benutzer auf Windows-Domänencontrollern auf, daher hat dieser Monitor auf einem DC keine Wirkung. Halten Sie DCs aus den Ziel-Tags der Richtlinie heraus, anstatt davon auszugehen, dass sie abgedeckt sind.

Den Benutzer-Monitor konfigurieren

Öffnen Sie die gewünschte Monitor-Richtlinie und klicken Sie dann auf + Neuen Monitor hinzufügen. Der Neuen Monitor hinzufügen Bereich öffnet sich.

Admin Monitor

Name und Typ

  1. Geben Sie einen Namen in das Name Feld. Benennen Sie ihn nach dem, was er erkennt: „Unerwarteter Admin erkannt" ist in einer Alarmliste sofort verständlich; „Benutzer-Monitor" hingegen nicht.

  2. Setzen Sie Typ auf Benutzer.

Schweregrad

Setzen Sie Schweregrad basierend auf den Auswirkungen unerwarteter Kontoänderungen in diesem Kontext:

  • Information

  • Warnung

  • Kritisch

  • Notfall

💡 TIPP: Bei auf Administratoren beschränkten Monitoren ist „Kritisch" oder „Notfall" in der Regel die richtige Wahl. Ein nicht autorisiertes Administratorkonto ist ein ernstes Sicherheitssignal, und es lohnt sich, es von Anfang an entsprechend zu behandeln.

Bekannte Benutzer

Geben Sie die Benutzerkonten, die Sie auf den abgedeckten Geräten erwarten, in das Bekannte Benutzer Feld. Jedes Konto erscheint als entfernbarer Chip. Drücken Sie Tab oder fügen Sie ein Komma hinzu, um weitere Benutzer hinzuzufügen, und klicken Sie auf × auf einem Chip, um ihn zu entfernen.

Die Übereinstimmung ist nicht zwischen Groß- und Kleinschreibung unterscheidend, und Leerzeichen um Namen herum werden ignoriert. Jacob und jacob dasselbe Konto übereinstimmen.

💡 TIPP: Sie wissen nicht genau, welche Konten derzeit auf einem Gerät vorhanden sind? Öffnen Sie das Gerät und prüfen Sie die Benutzer Registerkarte unter den Gerätedetails. Das ist Ihre verlässliche Grundlage für den Aufbau der Liste.

ℹ️ HINWEIS: Klicken Sie auf die {x} Schaltfläche rechts neben dem Feld, um eine Variable einzufügen, z. B. ein benutzerdefiniertes Feld (zum Beispiel {{cf_known_users}}). Die Variable wird pro Gerät aufgelöst, und ihr Wert wird durch Kommas und Zeilenumbrüche aufgeteilt. So können Sie die Liste aus einem benutzerdefinierten Feld steuern, anstatt Namen fest pro Monitor zu kodieren. Nützlich, wenn die erwarteten Konten je nach Gerät oder Kunde variieren.

Bereich

Bereich steuert, welche Konten der Monitor mit Ihrer Liste vergleicht:

  • Alle Benutzer — jedes lokale Benutzerkonto auf dem Gerät wird geprüft

  • Nur Administratoren — nur Konten mit Administratorrechten werden geprüft

💡 TIPP: „Nur Administratoren" ist der rauschärmere Ausgangspunkt. Standardbenutzerkonten kommen und gehen auf gemeinsam genutzten Arbeitsstationen, aber die Administratorliste auf einem gesunden Gerät sollte kurz und stabil sein.

🖥️ PLATTFORMHINWEIS:

  • Windows: Administrator bedeutet ein Mitglied der integrierten Gruppe „Administratoren".

  • macOS: Administrator bedeutet ein Mitglied der Gruppe „admin" oder „wheel".

  • Linux: Administrator bedeutet ein Mitglied der Gruppe „sudo", „wheel" oder „root".

Alarm auslösen bei

Alarm auslösen bei legt die Bedingung fest, die den Alarm auslöst:

  • Ein unbekannter Benutzer erscheint — wird ausgelöst, wenn ein Konto auf dem Gerät vorhanden ist, das nicht in Ihrer Liste bekannter Benutzer steht. Erkennt unerwünschte oder nicht autorisierte Konten.

  • Ein erwarteter Benutzer fehlt — wird ausgelöst, wenn ein Konto aus Ihrer Liste bekannter Benutzer auf dem Gerät nicht gefunden wird. Erkennt die Löschung erforderlicher Dienstkonten.

In beiden Fällen ist die Liste bekannter Benutzer die Referenzmenge. Im Unbekannt-Modus fungiert sie als Zulassungsliste; im Fehlend-Modus als Pflichtliste.

ℹ️ HINWEIS: Jeder Monitor überwacht eine Bedingung. Um sowohl unbekannte als auch fehlende Konten zu erkennen, erstellen Sie zwei Benutzer-Monitore in derselben Richtlinie, einen für jede Bedingung. Sie können dieselbe Liste bekannter Benutzer verwenden.

Problembehebung

Fügen Sie eine oder mehrere Automatisierungen hinzu, die ausgeführt werden sollen, wenn dieser Monitor ausgelöst wird. Bei einem unerwarteten Administratorkonto könnte das bedeuten: das Gerät sperren, das Konto per Skript deaktivieren oder Ihren Sicherheitskontakt benachrichtigen.

  1. Klicken Sie in das Problembehebung Feld und wählen Sie eine Automatisierung aus.

  2. Um weitere hinzuzufügen, klicken Sie auf + Weitere Problembehebung hinzufügen.

  3. Um eine zu entfernen, klicken Sie auf × daneben.

Sobald eine Automatisierung verknüpft ist, öffnen Sie sie über das Link-Symbol zur Überprüfung, und weisen Sie die Nutzlast des Monitors einer Automatisierungsvariablen zu, wenn Sie Alarmdaten an die Logik der Automatisierung übergeben möchten.

⚠️ WARNUNG: Aggressive Maßnahmen zur Problembehebung wie „Gerät sperren" werden sofort ausgeführt, wenn der Alarm ausgelöst wird. Testen Sie Ihre Liste bekannter Benutzer auf echten Geräten, bevor Sie eine störende Automatisierung anhängen – andernfalls sperrt ein fehlender Eintrag in Ihrer Liste ein legitimes Gerät aus.

Benachrichtigungen

Die Empfänger benachrichtigen Kontrollkästchen steuern, ob die Empfänger der Richtlinie eine E-Mail erhalten:

  • Bei Alarmerstellung — Empfänger erhalten eine E-Mail, wenn der Alarm ausgelöst wird

  • Bei Alarmauflösung — Empfänger erhalten eine E-Mail, wenn der Alarm aufgelöst wird

Empfänger werden auf Ebene der Monitor-Richtlinie im Empfänger Abschnitt.

Automatische Auflösung

Alarm automatisch auflösen, wenn die Bedingungen nicht mehr zutreffen schließt den Alarm automatisch, wenn der Kontostatus wieder mit Ihrer Liste bekannter Benutzer übereinstimmt, zum Beispiel wenn das unerwünschte Konto entfernt oder das fehlende Konto wiederhergestellt wurde.

Bei einem sicherheitsorientierten Monitor möchten Sie dies in der Regel für eine manuelle Überprüfung deaktiviert lassen. Ein nicht autorisiertes Konto, das erscheint und dann wieder verschwindet, ist genau die Art von Ereignis, das ein Mensch überprüfen sollte – auch nachdem die Bedingung nicht mehr zutrifft.

Häufig gestellte Fragen

  • Wer kann Monitore erstellen und bearbeiten? Techniker mit Zugriff auf die entsprechende Monitor-Richtlinie. Berechtigungseinstellungen werden in Arbeitsbereich → Berechtigungen.

  • Überwacht dieser Monitor Domänenkonten oder nur lokale Konten? Nur lokale Konten. Domänenbenutzer werden nicht aufgelistet, auch nicht auf domänenverbundenen Computern. Um die Domänenkontenmitgliedschaft zu überwachen, verwenden Sie einen Skript-ausführen-Monitor mit einer benutzerdefinierten Prüfung.

  • Warum hat dieser Monitor auf meinem Domänencontroller keine Wirkung? Der Agent listet keine Benutzer auf Windows-Domänencontrollern auf, daher hat der Monitor dort keine Wirkung. Halten Sie DCs aus den Ziel-Tags der Richtlinie heraus.

  • Muss ich integrierte Konten wie „Administrator" oder „root" zu meiner Liste bekannter Benutzer hinzufügen? Manchmal. System- und Dienstkonten werden automatisch herausgefiltert, aber standardmäßige integrierte Konten, die den Filter überstehen (Administrator und Gast unter Windows, root überall), zählen als Benutzer. Wenn eines davon auf dem Gerät vorhanden ist und in Ihren Bereich fällt, fügen Sie es zur Liste hinzu – andernfalls wird ein Alarm für einen unbekannten Benutzer ausgelöst.

  • Unterscheidet die Liste bekannter Benutzer zwischen Groß- und Kleinschreibung? Nein. Die Übereinstimmung ist nicht zwischen Groß- und Kleinschreibung unterscheidend und ignoriert umgebende Leerzeichen.

  • Kann ein Monitor sowohl bei unbekannten als auch bei fehlenden Benutzern alarmieren? Nein. Jeder Monitor wird bei einer Bedingung ausgelöst. Erstellen Sie zwei Monitore in derselben Richtlinie, einen auf Ein unbekannter Benutzer erscheint und einen auf Ein erwarteter Benutzer fehlt.

  • Meine Geräte haben je nach Kunde unterschiedliche erwartete Konten. Benötige ich einen Monitor pro Kunde? Nicht unbedingt. Verwenden Sie die {x} Variablenauswahl im Feld „Bekannte Benutzer", um auf ein benutzerdefiniertes Feld zu verweisen, und speichern Sie dann die erwarteten Konten jedes Geräts in diesem Feld (durch Komma oder Zeilenumbruch getrennt). Ein Monitor, gerätespezifische Listen.

  • Warum wurde mein Alarm nicht ausgelöst, als ich ein Testkonto erstellt habe? Einige Dinge zu überprüfen: Das Gerät muss online und durch die Ziel-Tags der Richtlinie abgedeckt sein, die Prüfung läuft etwa alle 60 Sekunden (also warten Sie eine Minute), und ein Standard-Testkonto löst keinen Monitor aus, der auf Nur Administratoren.

  • Was passiert mit offenen Benutzeralarmen, wenn ich den Monitor lösche? Bestehende Alarme bleiben bestehen. Das Löschen eines Monitors schließt keine bereits erstellten Alarme. Lösen Sie diese manuell auf.

Verwandte Artikel
Erste Schritte mit Monitoren
Speicherauslastungs-Monitor
Antivirus-Monitor
Anwendungs-Monitor
Betriebszeit-Monitor
Hat dies deine Frage beantwortet?