Bir neçə il əvvəl biz bir bankda Dəyişiklik Auditorunu tətbiq etməyə başlayanda, eyni audit tapşırığını yerinə yetirən, lakin müvəqqəti metoddan istifadə edən çoxlu PowerShell skriptlərinin olduğunu gördük. O vaxtdan çox vaxt keçdi, müştəri hələ də Change Auditor-dan istifadə edir və bütün bu skriptlərin dəstəyini pis yuxu kimi xatırlayır. Bir adamda skriptlərə xidmət edən şəxs gizli bilikləri ötürməyi tələsik unudaraq işdən çıxsaydı, bu yuxu kabusa çevrilə bilərdi. Həmkarlarımızdan eşitdik ki, bu cür hallar orda-burda olub və bu, informasiya təhlükəsizliyi departamentinin işində ciddi xaosa səbəb olub. Bu yazıda Change Auditor-un əsas üstünlükləri haqqında danışacağıq və bu auditin avtomatlaşdırılması vasitəsi ilə bağlı iyulun 29-da vebinar elan edəcəyik. Kesimin altında bütün detallar var.
Yuxarıdakı ekran görüntüsü Google-a bənzər axtarış paneli olan İT Təhlükəsizlik Axtarış veb interfeysini göstərir ki, bunda Change Auditor-dan hadisələri çeşidləmək və baxışları konfiqurasiya etmək rahatdır.
Change Auditor Microsoft infrastrukturunda, disk massivlərində və VMware proqramlarında dəyişiklikləri yoxlamaq üçün güclü vasitədir. Audit dəstəklənir: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows Fayl Server, Biznes üçün OneDrive, Biznes üçün Skype, VMware, NetApp, EMC, FluidFS. GDPR, SOX, PCI, HIPAA, FISMA, GLBA standartlarına uyğunluq üçün əvvəlcədən quraşdırılmış hesabatlar mövcuddur.
Metriklər agent əsaslı şəkildə Windows serverlərindən toplanır ki, bu da AD daxilində zənglərə dərin inteqrasiyadan istifadə edərək yoxlamaya imkan verir və satıcının özünün yazdığı kimi, bu üsul hətta dərin yuvalanmış qruplarda dəyişiklikləri aşkar edir və yazmaq, oxumaq və oxumaqdan daha az yük təqdim edir. logların alınması (onlar belə işləyirlər ). Yüksək yüklə yoxlaya bilərsiniz. Bu aşağı səviyyəli inteqrasiyanın nəticəsi olaraq Quest Change Auditor-da siz müəyyən obyektlər üçün, hətta Enterprise Admin səviyyəsində olan istifadəçilər üçün müəyyən dəyişikliklərə veto qoya bilərsiniz. Yəni özünüzü zərərli AD administratorlarından qoruyun.
Change Auditor-da bütün dəyişikliklər 5W növü ilə normallaşdırılır - Kim, Nə, Harada, Nə vaxt, İş Stansiyasına (Kim, Nə, Harada, Nə vaxt və hansı iş stansiyasında). Bu format müxtəlif mənbələrdən alınan hadisələri birləşdirməyə imkan verir.
2 iyun 2020-ci ildə Change Auditor proqramının yeni versiyası buraxıldı - 7.1. Aşağıdakı əsas təkmilləşdirmələrə malikdir:
- Pass-the-Ticket təhlükəsinin aşkarlanması (domen siyasətindən artıq istifadə müddəti olan Kerberos Biletlərinin müəyyən edilməsi, bu potensial Qızıl Bilet hücumunu göstərə bilər);
- uğurlu və uğursuz NTLM autentifikasiyalarının auditi (siz NTLM versiyasını təyin edə və v1-dən istifadə edən proqramlar haqqında məlumat verə bilərsiniz);
- uğurlu və uğursuz Kerberos autentifikasiyalarının auditi;
- Qonşu AD meşəsində audit agentlərinin yerləşdirilməsi.
Ekran görüntüsü Kerberos Biletinin uzun müddət qüvvədə olduğu müəyyən edilmiş təhlükəni göstərir.
Quest - On Demand Audit-in digər məhsulu ilə birlikdə siz hibrid mühitləri tək interfeysdən yoxlaya və AD, Azure AD-də girişlərə və Office 365-də dəyişikliklərə nəzarət edə bilərsiniz.
Change Auditor-un digər üstünlüyü, birbaşa və ya digər Quest məhsulu - InTrust vasitəsilə SIEM sistemi ilə qutudan kənar inteqrasiya imkanıdır. Əgər belə bir inteqrasiya qurarsanız, InTrust vasitəsilə hücumun qarşısını almaq üçün avtomatlaşdırılmış tədbirlər həyata keçirə bilərsiniz və eyni Elastik Yığında siz görünüşlər qura və həmkarlarınıza tarixi məlumatlara baxmaq imkanı verə bilərsiniz.
Dəyişiklik Auditoru haqqında daha çox öyrənmək üçün sizi iyulun 29-da Moskva vaxtı ilə saat 11-də keçiriləcək vebinarda iştirak etməyə dəvət edirik. Vebinardan sonra sizi maraqlandıran bütün sualları verə bilərsiniz.
Quest təhlükəsizlik həlləri haqqında daha çox məqalə:
Siz vasitəsilə məsləhətləşmə, paylama və ya pilot layihə üçün sorğu göndərə bilərsiniz veb saytımızda. Təklif olunan həllərin təsviri də var.
Mənbə: www.habr.com