Уебинар за Quest Change Auditor - решение за одит на събития, свързани със сигурността на информацията

Преди няколко години, когато започнахме да внедряваме Change Auditor в една банка, забелязахме огромен набор от PowerShell скриптове, които изпълняваха точно същата задача за одит, но по занаятчийски начин. Оттогава мина много време, клиентът все още използва Change Auditor и си спомня поддръжката на всички тези скриптове като кошмар. Този сън също може да се превърне в кошмар, ако човекът, който е обслужвал сценариите в един човек, го вземе и се откаже, забравяйки набързо да предаде тайно знание. От колеги чухме, че има такива случаи на места и това тогава внесе значителен хаос в работата на отдела по сигурността на информацията. В тази статия ще говорим за основните предимства на Change Auditor и ще обявим уеб семинар на 29 юли за този инструмент за автоматизиране на одита. Под кройката всички детайли.

Екранната снимка по-горе показва уеб интерфейса за търсене на IT Security с лента за търсене, подобна на Google, в която е удобно да сортирате събития от Change Auditor и да персонализирате изгледи.

Change Auditor е мощен инструмент за одитиране на промени в инфраструктурата на Microsoft, дисковите масиви и VMware. Поддържан одит: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive за бизнеса, Skype за бизнеса, VMware, NetApp, EMC, FluidFS. Има предварително инсталирани отчети за съответствие със стандартите GDPR, SOX, PCI, HIPAA, FISMA, GLBA.

Метриките се събират от сървъри на Windows по начин, базиран на агенти, което ви позволява да извършвате одит, като използвате дълбока интеграция в повиквания в AD и, както пише самият доставчик, този метод открива промени дори в дълбоко вложени групи и въвежда по-малко натоварване, отколкото при писане, четене и извличане на регистрационни файлове (ето как работят конкурентни решения). Можете да го проверите при високо натоварване. Като следствие от тази интеграция на ниско ниво, в Quest Change Auditor можете да наложите вето на определени промени за определени обекти, дори за потребители на ниво Enterprise Admin. Тоест, за да се предпазите от злонамерени AD администратори.

В Change Auditor всички промени се нормализират към изгледа 5W - Кой, Какво, Къде, Кога, Работна станция (Кой, Какво, Къде, Кога и на коя работна станция). Този формат ви позволява да обедините събитията, получени от различни източници.

На 2 юни 2020 г. беше пусната нова версия на Change Auditor - 7.1. Той има следните ключови подобрения:

• Откриване на заплаха Pass-the-Ticket (откриване на Kerberos билети с дата на изтичане, която надвишава политиката на домейна, което може да означава потенциална атака на Golden Ticket);
• одит на успешни и неуспешни NTLM удостоверявания (можете да определите версията на NTLM и да уведомите за приложения, които използват v1);
• одит на успешни и неуспешни Kerberos удостоверявания;
• Разполагане на агенти за одит в съседна AD гора.

Екранната снимка показва открита заплаха с дълъг период на валидност на Kerberos Ticket.

Заедно с друг продукт от Quest - On Demand Audit, можете да проверявате хибридни среди от един интерфейс и да наблюдавате влизанията в AD, Azure AD и промените в Office 365.

Друго предимство на Change Auditor е възможността за интеграция извън кутията със SIEM система директно или чрез друг продукт на Quest - InTrust. Ако настроите такава интеграция, можете да извършвате автоматизирани действия за потискане на атака чрез InTrust и да настроите изгледи в същия еластичен стек и да дадете на колегите достъп за преглед на исторически данни.

За да научите повече за Change Auditor, ви каним да присъствате на уебинара, който ще се проведе на 29 юли от 11 часа московско време. След уебинара ще можете да зададете своите въпроси.

Регистрация за уебинара

Други статии за решенията за сигурност на Quest:

И кой го направи? Ние автоматизираме одита на информационната сигурност

Проследяване на жизнения цикъл на потребителя без клещи и тиксо

Какво може да бъде полезно от регистрационните файлове на работна станция, базирана на Windows OS

Можете да оставите заявка за консултация, комплект за разпространение или пилотен проект чрез форма за обратна връзка на нашия уебсайт. Има и описания на предложените решения.

Източник: www.habr.com