Prije nekoliko godina, kada smo počeli implementirati Change Auditor u jednoj banci, primijetili smo ogroman niz PowerShell skripti koje su obavljale potpuno isti zadatak revizije, ali koristeći improviziranu metodu. Od tada je prošlo dosta vremena, korisnik i dalje koristi Change Auditor i pamti podršku svih tih skripti kao ružan san. Taj san se mogao pretvoriti u noćnu moru da je osoba koja je servisirala scenarije u jednoj osobi upravo dala otkaz, žurno zaboravivši prenijeti tajno znanje. Od kolega smo čuli da se ovakvi slučajevi dešavaju tu i tamo i to je onda unelo značajan haos u rad sektora informacione bezbednosti. U ovom članku ćemo govoriti o glavnim prednostima Change Auditora i najaviti webinar 29. jula o ovom alatu za automatizaciju revizije. Ispod reza su svi detalji.
Snimak ekrana iznad prikazuje web sučelje IT Security Search sa trakom za pretraživanje nalik googleu, u kojoj je zgodno sortirati događaje iz Change Auditora i konfigurirati prikaze.
Change Auditor je moćan alat za reviziju promjena u Microsoft infrastrukturi, diskovnim nizovima i VMware-u. Podržana revizija: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype za posao, VMware, NetApp, EMC, FluidFS. Postoje unaprijed instalirani izvještaji za usklađenost sa GDPR, SOX, PCI, HIPAA, FISMA, GLBA standardima.
Metrike se prikupljaju sa Windows servera na način baziran na agentima, što omogućava reviziju koristeći duboku integraciju u pozive unutar AD i, kako piše sam dobavljač, ova metoda otkriva promjene čak i u duboko ugniježđenim grupama i uvodi manje opterećenje nego prilikom pisanja, čitanja i preuzimanje dnevnika (tako rade ). Možete ga provjeriti pri velikom opterećenju. Kao posljedica ove integracije niskog nivoa, u Quest Change Auditoru možete staviti veto na određene promjene za određene objekte, čak i za korisnike na nivou Enterprise Admin. Odnosno, zaštitite se od zlonamjernih AD administratora.
U Change Auditoru, sve promjene su normalizirane na tip 5W - Ko, Šta, Gdje, Kada, Radna stanica (Ko, Šta, Gdje, Kada i na kojoj radnoj stanici). Ovaj format vam omogućava da objedinite događaje primljene iz različitih izvora.
2. juna 2020. izašla je nova verzija Change Auditora - 7.1. Ima sljedeća ključna poboljšanja:
- Otkrivanje pretnji Pass-the-Ticket (identifikacija Kerberos tiketa sa datumom isteka koji premašuje politiku domena, što može ukazivati na potencijalni napad Golden Ticket-a);
- revizija uspješnih i neuspješnih NTLM autentikacija (možete odrediti NTLM verziju i obavijestiti o aplikacijama koje koriste v1);
- revizija uspješnih i neuspješnih Kerberos autentifikacija;
- Raspoređivanje agenata revizije u susjednoj AD šumi.
Snimak ekrana prikazuje identificiranu prijetnju s dugim periodom važenja Kerberos karte.
Zajedno sa drugim proizvodom iz Quest - On Demand Audit, možete vršiti reviziju hibridnih okruženja iz jednog interfejsa i nadgledati prijave u AD, Azure AD i promene u Office 365.
Još jedna prednost Change Auditor-a je mogućnost van-box integracije sa SIEM sistemom direktno ili preko drugog Quest proizvoda - InTrust. Ako postavite takvu integraciju, možete izvoditi automatizirane radnje za suzbijanje napada putem InTrust-a, a u istom Elastic Stack-u možete podesiti poglede i dati pristup kolegama da pregledaju historijske podatke.
Da biste saznali više o Change Auditoru, pozivamo vas da prisustvujete webinaru, koji će se održati 29. jula u 11 sati po moskovskom vremenu. Nakon webinara moći ćete postaviti sva pitanja koja imate.
Više članaka o Quest sigurnosnim rješenjima:
Možete podnijeti zahtjev za konsultacije, distribuciju ili pilot projekat putem na našoj web stranici. Tu su i opisi predloženih rješenja.
izvor: www.habr.com