منذ عدة سنوات، عندما بدأنا في تطبيق Change Auditor في أحد البنوك، لاحظنا وجود مجموعة كبيرة من نصوص PowerShell النصية التي تؤدي نفس مهمة التدقيق تمامًا، ولكن باستخدام طريقة مؤقتة. لقد مر الكثير من الوقت منذ ذلك الحين، ولا يزال العميل يستخدم Change Auditor ويتذكر دعم كل تلك البرامج النصية وكأنه حلم مزعج. كان من الممكن أن يتحول هذا الحلم إلى كابوس إذا استقال الشخص الذي خدم النصوص في شخص واحد للتو، ونسي على عجل نقل المعرفة السرية. سمعنا من الزملاء أن مثل هذه الحالات حدثت هنا وهناك مما أدى إلى فوضى كبيرة في عمل قسم أمن المعلومات. في هذه المقالة، سنتحدث عن المزايا الرئيسية لبرنامج Change Auditor وسنعلن عن ندوة عبر الإنترنت في 29 يوليو حول أداة أتمتة التدقيق هذه. أسفل القطع توجد كل التفاصيل.
تُظهر لقطة الشاشة أعلاه واجهة ويب IT Security Search مع شريط بحث يشبه Google، حيث يكون من السهل فرز الأحداث من Change Auditor وتكوين طرق العرض.
يعد Change Auditor أداة قوية لتدقيق التغييرات في البنية التحتية لـ Microsoft ومصفوفات الأقراص وبرامج VMware. التدقيق المدعوم: AD، وAzure AD، وSQL Server، وExchange، وExchange Online، وSharepoint، وSharepoint Online، وWindows File Server، وOneDrive for Business، وSkype for Business، وVMware، وNetApp، وEMC، وFluidFS. توجد تقارير مثبتة مسبقًا للامتثال لمعايير الناتج المحلي الإجمالي (GDPR)، وSOX، وPCI، وHIPAA، وFISMA، وGLBA.
يتم جمع المقاييس من خوادم Windows بطريقة تعتمد على الوكيل، مما يسمح بالتدقيق باستخدام التكامل العميق في المكالمات داخل AD، وكما يكتب البائع نفسه، تكتشف هذه الطريقة التغييرات حتى في المجموعات المتداخلة بعمق وتقدم حملاً أقل مما يحدث عند الكتابة والقراءة والتحميل. استرجاع السجلات (هذه هي الطريقة التي تعمل بها ). يمكنك التحقق من ذلك عند التحميل العالي. ونتيجة لهذا التكامل منخفض المستوى، في Quest Change Auditor، يمكنك الاعتراض على تغييرات معينة لكائنات معينة، حتى بالنسبة للمستخدمين على مستوى مسؤول المؤسسة. وهذا يعني حماية نفسك من مسؤولي الإعلانات الضارين.
في Change Auditor، تتم تسوية كافة التغييرات إلى نوع 5W - من وماذا وأين ومتى ومحطة العمل (من وماذا وأين ومتى وعلى أي محطة عمل). يتيح لك هذا التنسيق توحيد الأحداث الواردة من مصادر مختلفة.
في 2 يونيو 2020، تم إصدار إصدار جديد من Change Auditor - 7.1. لديها التحسينات الرئيسية التالية:
- اكتشاف تهديدات Pass-the-Ticket (تحديد تذاكر Kerberos مع تاريخ انتهاء صلاحية يتجاوز سياسة المجال، مما قد يشير إلى هجوم محتمل على Golden Ticket)؛
- تدقيق مصادقة NTLM الناجحة وغير الناجحة (يمكنك تحديد إصدار NTLM والإبلاغ عن التطبيقات التي تستخدم الإصدار 1)؛
- تدقيق عمليات مصادقة Kerberos الناجحة وغير الناجحة؛
- نشر وكلاء التدقيق في مجموعة AD المجاورة.
تُظهر لقطة الشاشة تهديدًا تم تحديده مع فترة صلاحية طويلة لتذكرة Kerberos.
جنبًا إلى جنب مع منتج آخر من Quest - On Demand Audit، يمكنك تدقيق البيئات المختلطة من واجهة واحدة ومراقبة عمليات تسجيل الدخول في AD وAzure AD والتغييرات في Office 365.
ميزة أخرى لبرنامج Change Auditor هي إمكانية التكامل الجاهز مع نظام SIEM مباشرة أو من خلال منتج Quest آخر - InTrust. إذا قمت بإعداد مثل هذا التكامل، فيمكنك تنفيذ إجراءات تلقائية لمنع الهجوم من خلال InTrust، وفي نفس Elastic Stack يمكنك إعداد طرق العرض ومنح الزملاء حق الوصول لعرض البيانات التاريخية.
لمعرفة المزيد حول Change Auditor، ندعوك لحضور الندوة عبر الإنترنت، والتي ستعقد في 29 يوليو الساعة 11 صباحًا بتوقيت موسكو. بعد الندوة عبر الويب، ستتمكن من طرح أي أسئلة قد تكون لديكم.
المزيد من المقالات حول حلول Quest الأمنية:
يمكنك تقديم طلب استشارة أو توزيع أو مشروع تجريبي من خلال على موقعنا. هناك أيضًا وصف للحلول المقترحة.
المصدر: www.habr.com