Když jsme před několika lety začali implementovat nástroj Change Auditor v jedné bance, všimli jsme si obrovského množství skriptů PowerShell, které prováděly přesně stejný úkol auditu, ale za použití provizorní metody. Od té doby uplynulo hodně času, zákazník stále používá Change Auditor a na podporu všech těch skriptů vzpomíná jako na zlý sen. Ten sen se mohl proměnit v noční můru, kdyby osoba, která obsluhovala scénáře v jedné osobě, právě skončila a spěšně zapomněla předat tajné znalosti. Od kolegů jsme slyšeli, že se takové případy tu a tam staly a to pak přineslo do práce oddělení informační bezpečnosti značný chaos. V tomto článku si povíme o hlavních výhodách Change Auditor a oznámíme webinář na 29. července o tomto nástroji pro automatizaci auditu. Pod střihem jsou všechny detaily.
Snímek obrazovky výše ukazuje webové rozhraní IT Security Search s vyhledávacím panelem podobným google, ve kterém je vhodné třídit události z Auditoru změn a konfigurovat zobrazení.
Change Auditor je výkonný nástroj pro auditování změn v infrastruktuře Microsoftu, diskových polích a VMware. Podporovaný audit: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive pro firmy, Skype pro firmy, VMware, NetApp, EMC, FluidFS. Jsou zde předinstalované reporty pro soulad s GDPR, SOX, PCI, HIPAA, FISMA, GLBA standardy.
Metriky se shromažďují ze serverů Windows způsobem založeným na agentech, což umožňuje auditování pomocí hluboké integrace do volání v rámci AD a jak sám prodejce píše, tato metoda detekuje změny i v hluboce vnořených skupinách a přináší menší zátěž než při zápisu, čtení a načítání protokolů (takto fungují ). Můžete to zkontrolovat při vysoké zátěži. V důsledku této nízkoúrovňové integrace můžete v nástroji Quest Change Auditor vetovat určité změny pro určité objekty, a to i pro uživatele na úrovni Enterprise Admin. To znamená, že se chraňte před škodlivými správci AD.
V Auditoru změn jsou všechny změny normalizovány na typ 5W - Kdo, co, kde, kdy, pracovní stanice (kdo, co, kde, kdy a na které pracovní stanici). Tento formát umožňuje sjednotit události přijaté z různých zdrojů.
Dne 2. června 2020 byla vydána nová verze Change Auditor - 7.1. Má následující klíčová vylepšení:
- Detekce hrozby Pass-the-Ticket (identifikace lístků Kerberos s datem vypršení platnosti, které přesahuje zásady domény, což může naznačovat potenciální útok na Golden Ticket);
- audit úspěšných a neúspěšných autentizací NTLM (můžete určit verzi NTLM a upozornit na aplikace, které používají v1);
- audit úspěšných a neúspěšných autentizací Kerberos;
- Nasazení agentů auditu v sousední doménové struktuře AD.
Snímek obrazovky ukazuje identifikovanou hrozbu s dlouhou dobou platnosti lístku Kerberos.
Společně s dalším produktem od Quest – On Demand Audit můžete auditovat hybridní prostředí z jediného rozhraní a sledovat přihlášení v AD, Azure AD a změny v Office 365.
Další výhodou Change Auditoru je možnost out-of-box integrace se systémem SIEM přímo nebo prostřednictvím jiného produktu Quest - InTrust. Pokud takovou integraci nastavíte, můžete provádět automatizované akce k potlačení útoku prostřednictvím InTrust a ve stejném Elastic Stacku můžete nastavit pohledy a umožnit kolegům přístup k prohlížení historických dat.
Chcete-li se o Change Auditor dozvědět více, zveme vás na webinář, který se bude konat 29. července v 11 hodin moskevského času. Po skončení webináře se budete moci zeptat na jakékoli dotazy.
Další články o bezpečnostních řešeních Quest:
Prostřednictvím můžete podat žádost o konzultaci, distribuci nebo pilotní projekt na našem webu. Nechybí ani popisy navrhovaných řešení.
Zdroj: www.habr.com