Некалькі гадоў таму, пры пачатку ўкаранення Change Auditor у адным банку, мы звярнулі ўвагу на велізарны масіў PowerShell-скрыптоў, якія выконвалі роўна тую ж задачу аўдыту, але саматужным метадам. З тых часоў мінула шмат часу, замоўца ўсё гэтак жа карыстаецца Change Auditor і ўспамінае падтрымку ўсіх тых скрыптоў як страшны сон. Той сон мог стаць і кашмарам, калі б чалавек, які абслугоўваў скрыпты ў адну асобу, узяў бы ды і звольніўся, спехам забыўшыся перадаць таемныя веды. Ад калег мы чулі, што такія выпадкі дзе-нідзе здараліся і гэта тады занесла значны хаос у працу аддзела інфармацыйнай бяспекі. У гэтым артыкуле раскажам пра асноўныя перавагі Change Auditor і анансуем вэбінар 29 ліпеня па гэтай прыладзе аўтаматызацыі аўдыту. Пад катом усе падрабязнасці.
На скрыншоце вышэй – вэб-інтэрфейс IT Security Search з радком пошуку google-like, у якім зручна сартаваць падзеі з Change Auditor і наладжваць уяўленні.
Change Auditor – магутны інструмент для аўдыту змяненняў у інфраструктуры Microsoft, дыскавых масівах і VMware. Падтрымліваецца аўдыт: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows Server File, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Ёсць прадусталяваныя справаздачы на адпаведнасць стандартам GDPR, SOX, PCI, HIPAA, FISMA, GLBA.
Збор метрык з сервераў Windows адбываецца агентным спосабам, што дазваляе выконваць аўдыт пры дапамозе глыбокай інтэграцыі ў выклікі ўсярэдзіне AD і, як піша сам вендар, гэты метад выяўляе змены нават у глыбока ўкладзеных групах і прыўносіць меншую нагрузку, чым пры запісе, чытанні і выманні логаў. (так працуюць ). Праверыць можна на высокай нагрузцы. Як следства такой нізкаўзроўневай інтэграцыі – у Quest Change Auditor можна накласці вета на занясенне вызначаных змен для вызначаных аб'ектаў нават карыстачам узроўня Enterprise Admin. Г.зн. абараніцца ад зламысных адміністратараў AD.
У Change Auditor усе змены нармалізуюцца да выгляду 5W – Who, What, Where, When, Workstation (Хто, Што, Дзе, Калі і на якой працоўнай станцыі). Гэты фармат дазваляе ўніфікаваць падзеі, якія атрымліваюцца з розных крыніц.
2 чэрвеня 2020 года выйшла новая версія Change Auditor – 7.1. У ёй з'явіліся наступныя ключавыя паляпшэнні:
- выяўленне пагроз Pass-the-Ticket (выяўленне Kerberos Tickets са тэрмінам дзеяння, якія перавышаюць палітыку дамена, што можа паказваць на патэнцыйны напад тыпу Golden Ticket);
- аўдыт удалых і няўдалых NTLM-аўтэнтыфікацый (можна вызначаць версію NTLM, і апавяшчаць аб прыкладаннях, якія выкарыстоўваюць v1);
- аўдыт удалых і няўдалых Kerberos аўтэнтыфікацый;
- разгортванне агентаў для аўдыту ў суседнім лесе AD.
На скрыншоце выяўленая пагроза з працяглым перыядам дзеяння Kerberos Ticket.
Разам з іншым прадуктам ад Quest – On Demand Audit, можна выконваць аўдыт гібрыдных асяродкаў з адзінага інтэрфейсу і сачыць за логанамі ў AD, Azure AD і зменах у Office 365.
Яшчэ адна перавага Change Auditor – гэта магчымасць скрынкавай інтэграцыі з SIEM-сістэмай напрамую або праз іншы прадукт Quest – InTrust. Калі наладзіць падобную інтэграцыю, можна праз InTrust выконваць аўтаматызаваныя дзеянні па прыгнечанні нападу, а ў тым жа Elastic Stack наладзіць паданні і даць доступ калегам для прагляду гістарычных дадзеных.
Каб даведацца больш пра Change Auditor, запрашаем вас наведаць вэбінар, які адбудзецца 29 ліпеня ў 11 гадзін па маскоўскім часе. Пасля вэбінара вы зможаце задаць пытанні, якія цікавяць.
Іншыя артыкулы аб рашэннях Quest для бяспекі:
Пакінуць заяўку на атрыманне кансультацыі, дыстрыбутыва ці на пілотны праект вы можаце праз на нашым сайце. Тамака жа ёсць апісанні прапанаваных рашэнняў.
Крыніца: habr.com