For et par år siden, da vi begyndte at implementere Change Auditor i én bank, bemærkede vi et stort udvalg af PowerShell-scripts, der udførte nøjagtig den samme revisionsopgave, men på en håndværksmæssig måde. Der er gået meget tid siden da, kunden bruger stadig Change Auditor og husker støtten fra alle disse scripts som et mareridt. Den drøm kunne også blive et mareridt, hvis den person, der serverede manuskripterne i én person, ville tage den og holde op og hastigt glemme at overføre hemmelig viden. Fra kolleger hørte vi, at sådanne tilfælde fandt sted nogle steder, og det førte så til et betydeligt kaos i informationssikkerhedsafdelingens arbejde. I denne artikel vil vi tale om de vigtigste fordele ved Change Auditor og annoncere et webinar den 29. juli om dette revisionsautomatiseringsværktøj. Under snittet alle detaljer.
Skærmbilledet ovenfor viser IT Security Search-webgrænsefladen med en google-lignende søgelinje, hvor det er praktisk at sortere hændelser fra Change Auditor og tilpasse visninger.
Change Auditor er et kraftfuldt værktøj til revision af ændringer i Microsofts infrastruktur, diskarrays og VMware. Understøttet revision: AD, Azure AD, SQL Server, Exchange, Exchange Online, Sharepoint, Sharepoint Online, Windows File Server, OneDrive for Business, Skype for Business, VMware, NetApp, EMC, FluidFS. Der er forudinstallerede rapporter for overholdelse af GDPR, SOX, PCI, HIPAA, FISMA, GLBA standarder.
Metrics indsamles fra Windows-servere på en agent-baseret måde, som giver dig mulighed for at auditere ved hjælp af dyb integration i opkald inden for AD, og som leverandøren selv skriver, registrerer denne metode ændringer selv i dybt indlejrede grupper og introducerer mindre belastning end når du skriver, læse og udtrække logfiler (sådan fungerer de ). Du kan tjekke det under høj belastning. Som en konsekvens af denne integration på lavt niveau kan du i Quest Change Auditor nedlægge veto mod visse ændringer for bestemte objekter, selv for Enterprise Admin-niveaubrugere. Det vil sige at beskytte dig selv mod ondsindede AD-administratorer.
I Change Auditor normaliseres alle ændringer til 5W-visningen - Hvem, Hvad, Hvor, Hvornår, Arbejdsstation (Hvem, Hvad, Hvor, Hvornår og på hvilken arbejdsstation). Dette format giver dig mulighed for at forene begivenheder modtaget fra forskellige kilder.
Den 2. juni 2020 blev en ny version af Change Auditor frigivet - 7.1. Det har følgende vigtige forbedringer:
- Pass-the-Ticket-trusselsdetektion (registrering af Kerberos-billetter med en udløbsdato, der overstiger domænepolitikken, hvilket kan indikere et potentielt Golden Ticket-angreb);
- revision af vellykkede og mislykkede NTLM-godkendelser (du kan bestemme versionen af NTLM og give besked om applikationer, der bruger v1);
- revision af vellykkede og mislykkede Kerberos-godkendelser;
- Indsættelse af revisionsagenter i en tilstødende AD-skov.
Skærmbilledet viser en opdaget trussel med en lang Kerberos Ticket-gyldighedsperiode.
Sammen med et andet produkt fra Quest - On Demand Audit kan du auditere hybridmiljøer fra en enkelt grænseflade og overvåge logon i AD, Azure AD og ændringer i Office 365.
En anden fordel ved Change Auditor er muligheden for out-of-the-box integration med et SIEM-system direkte eller gennem et andet Quest-produkt - InTrust. Hvis du opsætter en sådan integration, kan du udføre automatiserede handlinger for at undertrykke et angreb gennem InTrust og opsætte visninger i den samme Elastic Stack og give kolleger adgang til at se historiske data.
For at lære mere om Change Auditor inviterer vi dig til at deltage i webinaret, som finder sted den 29. juli kl. 11:XNUMX Moskva-tid. Efter webinaret vil du kunne stille dine spørgsmål.
Andre artikler om Quest sikkerhedsløsninger:
Du kan efterlade en anmodning om en konsultation, distributionskit eller et pilotprojekt igennem på vores hjemmeside. Der er også beskrivelser af de foreslåede løsninger.
Kilde: www.habr.com