Etlike jare gelede, toe ons Change Auditor in een bank begin implementeer het, het ons 'n groot verskeidenheid PowerShell-skrifte opgemerk wat presies dieselfde oudittaak uitgevoer het, maar met 'n tydelike metode. Baie tyd het sedertdien verloop, die kliënt gebruik steeds Change Auditor en onthou die ondersteuning van al daardie skrifte soos 'n slegte droom. Daardie droom kon in 'n nagmerrie ontaard het as die persoon wat die draaiboeke in een persoon bedien het, net opgehou het en haastig vergeet het om geheime kennis oor te dra. Ons het by kollegas gehoor dat sulke gevalle hier en daar gebeur het en dit het toe aansienlike chaos in die werk van die inligtingsekuriteitsdepartement gebring. In hierdie artikel sal ons praat oor die belangrikste voordele van Change Auditor en 'n webinar op 29 Julie oor hierdie ouditoutomatiseringsinstrument aankondig. Onder die snit is al die besonderhede.
Die skermkiekie hierbo wys die IT-sekuriteitsoektog-webkoppelvlak met 'n Google-agtige soekbalk, waarin dit gerieflik is om gebeurtenisse vanaf Change Auditor te sorteer en aansigte op te stel.
Change Auditor is 'n kragtige instrument om veranderinge in Microsoft-infrastruktuur, skyfskikkings en VMware te oudit. Oudit ondersteun: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Daar is vooraf geïnstalleerde verslae vir voldoening aan GDPR, SOX, PCI, HIPAA, FISMA, GLBA-standaarde.
Metrieke word op 'n agentgebaseerde wyse van Windows-bedieners ingesamel, wat ouditering moontlik maak deur diep integrasie in oproepe binne AD te gebruik en, soos die verkoper self skryf, bespeur hierdie metode veranderinge selfs in diep geneste groepe en stel minder las in as wanneer daar geskryf, lees en haal logs op (dit is hoe dit werk ). Jy kan dit nagaan by hoë las. As gevolg van hierdie laevlak-integrasie kan jy in Quest Change Auditor sekere veranderinge vir sekere voorwerpe veto, selfs vir gebruikers op die Enterprise Admin-vlak. Dit wil sê, beskerm jouself teen kwaadwillige AD-administrateurs.
In Change Auditor word alle veranderinge genormaliseer na die 5W-tipe - Wie, Wat, Waar, Wanneer, Werkstasie (Wie, Wat, Waar, Wanneer en op watter werkstasie). Hierdie formaat laat jou toe om gebeurtenisse wat van verskillende bronne ontvang word, te verenig.
Op 2 Junie 2020 is 'n nuwe weergawe van Change Auditor vrygestel - 7.1. Dit het die volgende sleutelverbeterings:
- Slaag-die-kaartjie-bedreigingopsporing (identifikasie van Kerberos-kaartjies met 'n vervaldatum wat die domeinbeleid oorskry, wat 'n potensiële Golden Ticket-aanval kan aandui);
- oudit van suksesvolle en onsuksesvolle NTLM-stawings (jy kan die NTLM-weergawe bepaal en in kennis stel van toepassings wat v1 gebruik);
- oudit van suksesvolle en onsuksesvolle Kerberos-verifikasies;
- Ontplooi ouditagente in 'n naburige AD-bos.
Die skermkiekie wys 'n geïdentifiseerde bedreiging met 'n lang tydperk van geldigheid van die Kerberos-kaartjie.
Saam met 'n ander produk van Quest - On Demand Audit, kan jy hibriede omgewings vanaf 'n enkele koppelvlak oudit en aanmeldings in AD, Azure AD en veranderinge in Office 365 monitor.
Nog 'n voordeel van Change Auditor is die moontlikheid van out-of-box-integrasie met 'n SIEM-stelsel direk of deur 'n ander Quest-produk - InTrust. As jy so 'n integrasie opstel, kan jy outomatiese aksies uitvoer om 'n aanval deur InTrust te onderdruk, en in dieselfde Elastic Stack kan jy aansigte opstel en toegang gee aan kollegas om historiese data te bekyk.
Om meer oor Change Auditor te wete te kom, nooi ons jou uit om die webinar by te woon, wat op 29 Julie om 11:XNUMX Moskou-tyd sal plaasvind. Na die webinar sal jy enige vrae kan vra wat jy mag hê.
Meer artikels oor Quest-sekuriteitsoplossings:
Jy kan 'n versoek indien vir konsultasie, verspreiding of 'n loodsprojek deur op ons webwerf. Daar is ook beskrywings van voorgestelde oplossings.
Bron: will.com