Pipila ka tuig ang milabay, sa dihang nagsugod kami sa pagpatuman sa Change Auditor sa usa ka bangko, among namatikdan ang usa ka dako nga han-ay sa PowerShell scripts nga naghimo sa samang buluhaton sa pag-audit, apan naggamit sa usa ka makeshift nga pamaagi. Daghang panahon ang milabay sukad niadto, ang kustomer naggamit gihapon sa Change Auditor ug nahinumdom sa suporta sa tanan nga mga script sama sa usa ka dili maayo nga damgo. Kana nga damgo mahimong usa ka damgo kung ang tawo nga nagserbisyo sa mga script sa usa ka tawo bag-o lang miundang, dali nga nakalimot sa pagbalhin sa sekreto nga kahibalo. Nakadungog kami gikan sa mga kauban nga ang ingon nga mga kaso nahitabo dinhi ug didto ug kini nagdala daghang kagubot sa trabaho sa departamento sa seguridad sa impormasyon. Niini nga artikulo, maghisgot kami bahin sa mga nag-unang bentaha sa Change Auditor ug ipahibalo ang usa ka webinar sa Hulyo 29 sa kini nga himan sa automation sa pag-audit. Ubos sa pagputol mao ang tanan nga mga detalye.
Ang screenshot sa ibabaw nagpakita sa IT Security Search web interface nga adunay sama sa google nga search bar, diin sayon ββang paghan-ay sa mga panghitabo gikan sa Change Auditor ug pag-configure sa mga panglantaw.
Ang Change Auditor usa ka kusgan nga himan alang sa pag-audit sa mga pagbag-o sa imprastraktura sa Microsoft, mga arrays sa disk ug VMware. Gisuportahan ang pag-audit: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Adunay mga pre-install nga mga taho alang sa pagsunod sa GDPR, SOX, PCI, HIPAA, FISMA, GLBA nga mga sumbanan.
Ang mga sukatan gikolekta gikan sa mga server sa Windows sa paagi nga nakabase sa ahente, nga nagtugot sa pag-awdit gamit ang lawom nga paghiusa sa mga tawag sa sulod sa AD ug, ingon nga ang tigbaligya mismo nagsulat, kini nga pamaagi nakamatikod sa mga pagbag-o bisan sa lawom nga nested nga mga grupo ug gipaila ang gamay nga load kaysa sa pagsulat, pagbasa ug pagkuha sa mga troso (mao kana ang ilang pagtrabaho ). Mahimo nimong susihon kini sa taas nga load. Ingon usa ka sangputanan niining ubos nga lebel nga panagsama, sa Quest Change Auditor mahimo nimong i-veto ang pipila nga mga pagbag-o alang sa pipila nga mga butang, bisan alang sa mga tiggamit sa lebel sa Admin sa Enterprise. Kana mao, panalipdan ang imong kaugalingon gikan sa mga malisyosong AD administrator.
Sa Change Auditor, ang tanan nga mga pagbag-o gi-normalize sa tipo nga 5W - Kinsa, Unsa, Asa, Kanus-a, Workstation (Kinsa, Unsa, Asa, Kanus-a ug kung asa nga workstation). Kini nga format nagtugot kanimo sa paghiusa sa mga panghitabo nga nadawat gikan sa lain-laing mga tinubdan.
Niadtong Hunyo 2, 2020, usa ka bag-ong bersyon sa Change Auditor ang gipagawas - 7.1. Kini adunay mga mosunud nga hinungdanon nga pag-uswag:
- Pagsusi sa hulga sa Pass-the-Ticket (pag-ila sa mga Kerberos Tickets nga adunay expiration date nga milapas sa polisiya sa domain, nga mahimong magpaila sa posibleng pag-atake sa Golden Ticket);
- pag-audit sa malampuson ug dili malampuson nga NTLM authentications (mahimo nimong mahibal-an ang bersyon sa NTLM ug ipahibalo ang bahin sa mga aplikasyon nga naggamit v1);
- pag-audit sa malampuson ug dili malampuson nga mga panghimatuod sa Kerberos;
- Pag-deploy sa mga ahente sa pag-audit sa kasikbit nga AD nga kalasangan.
Ang screenshot nagpakita sa usa ka giila nga hulga nga adunay taas nga panahon sa balido sa Kerberos Ticket.
Kauban sa lain nga produkto gikan sa Quest - On Demand Audit, mahimo nimong i-audit ang mga hybrid nga palibot gikan sa usa ka interface ug monitor ang mga logon sa AD, Azure AD ug mga pagbag-o sa Office 365.
Ang laing bentaha sa Change Auditor mao ang posibilidad sa out-of-box integration sa usa ka SIEM system direkta o pinaagi sa laing produkto sa Quest - InTrust. Kung nag-set up ka sa ingon nga panagsama, mahimo nimong buhaton ang mga awtomatiko nga aksyon aron mapugngan ang usa ka pag-atake pinaagi sa InTrust, ug sa parehas nga Elastic Stack mahimo nimong i-set up ang mga panan-aw ug hatagan ang access sa mga kauban aron makita ang makasaysayan nga datos.
Aron makakat-on og dugang mahitungod sa Change Auditor, kami nagdapit kanimo sa pagtambong sa webinar, nga mahitabo sa Hulyo 29 sa 11 sa oras sa Moscow. Pagkahuman sa webinar mahimo nimong ipangutana ang bisan unsang mga pangutana nga mahimo nimo.
Dugang nga mga artikulo bahin sa mga solusyon sa seguridad sa Quest:
Mahimo nimong isumite ang usa ka hangyo alang sa konsultasyon, pag-apod-apod o usa ka pilot nga proyekto pinaagi sa sa among website. Adunay usab mga paghulagway sa gisugyot nga mga solusyon.
Source: www.habr.com